De Nederlandse vertaling van DPIA is (Data Protection Impact Assessment) is gegevensbeschermingseffectbeoordeling. Het is een voorafgaand onderzoek naar de privacyeffecten van een nieuw project. Het doel hiervan is om in een vroeg stadium privacyrisico’s in kaart te brengen en maatregelen hiervoor te bedenken. Een DPIA is alleen verplicht voor projecten met hoge risico’s voor de privacy van de betrokkenen.
Dat is in ieder geval aan de orde wanneer een organisatie:
• systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling
• op grote schaal bijzondere persoonsgegevens verwerkt
• op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht)

Buiten deze drie situaties geeft de AVG geen overzicht van verwerkingen met een hoog risico. De werkgroep van Europese privacytoezichthouders heeft een lijst met 9 criteria opgesteld om het risico te bepalen. Daarnaast zal de Autoriteit Persoonsgegevens (AP) op termijn een lijst van verwerkingen publiceren waarvoor een DPIA verplicht is.

Voor veel kleine organisaties zal deze verplichting niet gelden.

Terug naar inleiding

Bent u nog niet klaar voor de AVG? Bestel dan snel ons doehetzelf-pakket: functioneel, praktisch en betaalbaar