Een DPIA, voluit gegevensbeschermingseffectbeoordeling, is een analyse van de risico’s van een verwerking. Bij een hoog risico is die verplicht. Zo bepaal je of je er een nodig hebt.
Wanneer verplicht?
Een DPIA is verplicht bij verwerkingen met een waarschijnlijk hoog risico, zoals grootschalige verwerking van bijzondere gegevens, systematische monitoring of profilering met grote gevolgen.
De lijst van de AP
De Autoriteit Persoonsgegevens publiceerde een lijst met verwerkingen waarvoor een DPIA in elk geval verplicht is. Check die lijst als je twijfelt.
Wat staat erin?
Een DPIA beschrijft de verwerking, beoordeelt de noodzaak en proportionaliteit, brengt de risico’s voor betrokkenen in kaart en benoemt maatregelen om die risico’s te beperken.
Betrek de juiste mensen
Heb je een functionaris voor gegevensbescherming, vraag dan advies. Betrek ook de mensen die de verwerking uitvoeren, zodat de analyse klopt.
Wanneer wel en niet een DPIA?
| Verwerking | DPIA nodig? |
|---|---|
| Grootschalige bijzondere gegevens | Ja |
| Systematische monitoring (bijv. cameratoezicht) | Ja |
| Profilering met grote gevolgen | Ja |
| Eenvoudig contactformulier | Nee |
| Nieuwsbriefadministratie | Nee |
Blijven beoordelen
Verandert de verwerking, herzie dan de DPIA. Het is een levend document, geen eenmalige formaliteit.
Klaar om jouw privacy policy te maken?
Gebruik onze gratis generator en heb in 3 minuten een juridisch correcte privacy policy op maat.
Start de generator - gratis