Data Protection Impact Assessment (DPIA) – GDPR leidraad en tool

Wanneer je een nieuwe verwerking van persoonsgegevens wil opstarten of een bestaande aanpast, dan dien je te evalueren of die verwerking een grote impact kan hebben op de privacy van de personen wiens gegevens verwerkt worden.

 

Indien dat het geval is, moet je voorafgaand een “Data Protection Impact Assessment” (“DPIA” of “Gegevensbeschermingseffectbeoordeling”) uitvoeren.

 

In een DPIA zal je evalueren en documenteren:

–              of de geplande verwerking een privacyrisico inhoudt,

–              of en hoe de risico’s voldoende afgedekt zullen worden.

 

Indien uit de DPIA blijkt dat de risico’s niet volledig afgedekt kunnen worden, maar je de verwerking toch wil aanvatten, dan moet je eerst de privacy autoriteit raadplegen om bevestigd te krijgen dat die verwerking, ondanks de restrisico’s, geen schending van de GDPR inhoudt.

 

In deze leidraad wordt toegelicht wanneer je een DPIA moet doen. De DPIA zelf kan je uitvoeren op basis van onze DPIA-template.

 

Deze leidraad begeleid je doorheen de volgende vragen:

  • Wat is een DPIA?
  • Wanneer moet je een DPIA uitvoeren?
  • Wanneer zeker geen DPIA?
  • Wat zijn de criteria om te evalueren of er sprake is van een groot risico?
  • Hoe doe je een DPIA?
  • Hoe loopt het proces en wat zijn de vervolgstappen?

 

De tool bevat vooraf bepaalde velden en geeft automatisch advies in functie van je antwoorden en bevat:

  • Voorblad met je bedrijfsgegevens
  • Stap 0 – Pre-DPIA: Vul de vragen in en krijg antwoord of een DPIA nodig is.
  • Stap 1 – de verwerking: hier worden de onderdelen van de eigenlijke verwerking geanalyseerd
  • Stap 2 – risicoanalyse: in functie van je antwoorden, bepaalt de tool het risico dat een verwerking inhoudt

Stap 3 – conclusie

Laat een reactie achter

Jouw naam zal samen met je bericht gepubliceerd worden. *