Please select a page template in page properties.

Gegevensbeschermings- effectbeoordeling (DPIA)

Een Gegevensbeschermingseffectbeoordeling (in het Engels een DPIA - Data protection impact assessment - genaamd) geeft je voorafgaand aan een onderzoek waarin persoonsgegevens worden verwerkt een beeld van de risico’s en stelt je in de gelegenheid deze risico’s te mitigeren, door passende technische en organisatorische maatregelen te nemen.

Op deze pagina lees je wat een DPIA is, wanneer je deze moet uitvoeren en wat je er aan hebt.

Een DPIA geeft je voorafgaand aan een onderzoek waarin persoonsgegevens worden verwerkt, een beeld van de risico’s en stelt je in de gelegenheid deze risico’s te mitigeren door passende technische en organisatorische maatregelen te nemen. 

Zie ook: 2.17. Verplichting 2: 'Gegevensbeschermingseffectbeoordeling'.

Je kunt altijd een DPIA doen, maar in sommige gevallen moet je een DPIA doen. De Autoriteit Persoonsgegevens heeft in een Besluit inzake lijst van verwerkingen van persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is een aantal verwerkingen benoemd waarbij een DPIA verplicht is.

Een voorbeeld is “heimelijk onderzoek”. Normaliter doe je een DPIA wanneer en waarschijnlijk sprake is van een zogenaamde hoog risico verwerking. Hiervan is sprake als van de onderstaande 9 criteria 2 of meer van toepassing zijn op de voorgenomen verwerking (bron: pg 1 Besluit inzake lijst van verwerkingen van persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is):

1. Evaluatie of scoretoekenning

2. Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg

3. Stelselmatige monitoring

4. Gevoelige gegevens of gegevens van zeer persoonlijke aard

5. Op grote schaal verwerkte gegevens

6. Matching of samenvoeging van datasets

7. Gegevens met betrekking tot kwetsbare betrokkenen

8. Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen

9. de situatie waarin als gevolg van de verwerking zelf “betrokkenen [...] een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst”;

Pre-DPIA

Het doorlopen van deze negen criteria wordt ook wel eens een “pre-DPIA” genoemd. Hier vind je een voorbeeld van hoe zo’n pre-DPIA er in de praktijk beknopt uit kan zien, gecombineerd met het opvragen van informatie ten behoeve van het register van verwerkingen:

Voorbeeld

Een voorbeeld van een DPIA, uitgewerkt in een LCRDMtaakgroep voor onderzoek in de Social Sciences is hier online beschikbaar. Gevisualiseerd op een smartphone: