Data Protection Impact Assessment

Inhoudsopgave

1. Wat is de verplichte kwaliteitseis?

Een Data Protection Impact Assessment (DPIA) is een verplichting die geldt voor projecten, regelgeving en beleid. Deze verplichting vloeit voort uit de Algemene verordening gegevensbescherming (AVG). Dit is de privacywetgeving die is ingevoerd op 25 mei 2018. Rijksbreed wordt nu de term DPIA gebruikt in plaats van de termen Privacy Impact Assessment (PIA) en Gegevensbeschermingseffectbeoordeling (GEB).

Terug naar boven

2. Wat is een DPIA?

Bij projecten, regelgeving en beleid waarbij persoonsgegevens worden verwerkt, moet je een duidelijk beeld hebben wat de risico’s zijn voor de rechten en vrijheden van betrokkenen. Een DPIA helpt hierbij en is ook een goed hulpmiddel om te beoordelen in hoeverre de huidige maatregelen voldoen en wat er nodig is om de risico’s te verminderen. Hoewel een DPIA een verplichting is op basis van de AVG en voornamelijk wordt gebruikt om privacyrisico’s te beoordelen, moet een DPIA dus breder worden opgevat.

Terug naar boven

3. Waarom is een DPIA nodig?

Je voert een DPIA uit:

  1. omdat je beleid en regelgeving maakt waaruit verwerkingen van persoonsgegevens voortvloeien;
  2. omdat sprake is van een verplichting op basis van departementaal beleid;
  3. of omdat sprake is van gegevensverwerkingen van persoonsgegevens met een hoog risico voor de rechten en vrijheden van betrokkenen (artikel 35 van de Algemene verordening gegevensbescherming).

In de AVG is vastgelegd welke ruimte je hebt bij het verzamelen en verwerken van persoonsgegevens. Je moet de vraag beantwoorden of de beperkingen op het grondrecht tot bescherming van de persoonlijke levenssfeer gerechtvaardigd zijn. Daarvoor moet je kijken of de voorgenomen regelgeving noodzakelijk, effectief en hanteerbaar is. Daarnaast is de proportionaliteit van belang: de inbreuk mag niet groter zijn dan strikt noodzakelijk is.

Ook als het niet verplicht is om een DPIA uit te voeren, kan het waardevol zijn om dit toch te doen. Door het uitvoeren van een DPIA wordt de bescherming van persoonsgegevens namelijk op een gestructureerde manier onderdeel van de belangenafweging en besluitvorming van beleid, regelgeving en (ICT-)projecten binnen de Rijksdienst. Dit verhoogt de kwaliteit van de project- of beleidsuitvoering.

Terug naar boven

4. Wanneer voer ik een DPIA uit?

Een DPIA moet in een vroeg stadium van de beleids- of projectontwikkeling worden uitgevoerd. Op dat moment kun je namelijk nog zonder vooroordelen nadenken over de gevolgen en kun je je voorstel nog makkelijker herzien. Dit voorkomt ook latere, kostbare aanpassingen in processen, herontwerp van systemen of zelfs stopzetten van een project. Behalve aan het begin van een project kun je een DPIA ook op andere momenten en meermaals uitvoeren en actualiseren. Als het voorstel wijzigt, voer je opnieuw een DPIA uit. Als de gegevensverwerkingen of de gevolgen ervan veranderen, moet je de DPIA actualiseren. Volgens de European Data Protection Board (EDPB) moet een DPIA iedere drie jaar worden geëvalueerd.

Terug naar boven

5. Hoe voer ik een DPIA uit?

Het Model DPIA Rijksdienst bestaat uit drie onderdelen. Het eerste deel geeft een algemene inleiding op het model DPIA Rijksdienst en beschrijft hoe je een DPIA uitvoert. Het tweede deel beschrijft het model om een DPIA uit te voeren dat bestaat uit zeventien punten. In het derde deel wordt per punt van het model een toelichting gegeven, uitgesplitst naar een DPIA van regelgeving en gegevensverwerkingen van het Rijk. Dit model wordt gebruikt in de Rijksdienst.

Organisaties kunnen dit model voor de eigen organisatie aanvullen met elementen die kenmerkend zijn voor die organisatie. Door dergelijke elementen toe te voegen, wordt het instrument beter bruikbaar voor het eigen organisatieonderdeel.

Naast het model DPIA Rijksdienst is er ook het Rapportagemodel DPIA Rijksdienst. Dit rapportagemodel gebruik je als sjabloon voor een DPIA-rapportage. Hierin komen de zeventien punten naar voren die in het model worden genoemd. Het model DPIA Rijksdienst en het rapportagemodel gebruik je dus samen om efficiënt een DPIA-rapportage op te stellen.

Terug naar boven

6. Waar vind ik meer informatie?

Modellen DPIA Rijksdienst

Terug naar boven

7. Wie kan mij verder helpen?

Terug naar boven

8. Welke andere criteria en uitgangspunten hangen samen met Data Protection Impact Assessment?

Leg voorgenomen wet- en regelgeving ter advisering voor aan de Autoriteit Persoonsgegevens als sprake is van verwerking (zie artikel 36, vierde lid, van de Algemene verordening gegevensbescherming).

Terug naar boven

Laatst gewijzigd op: 7-9-2023