Het verbetertraject, een echte game changer?
Als ondernemer ben je continu op zoek naar manieren om je bedrijf te innoveren, er is immers altijd ruimte voor verbetering. Maar alleen een probleem
Een data protect impact assessment, ook wel de DPIA-scan. Of in mooi Nederlands de gegevensbescherming effectbeoordeling, ook wel de GEB. Wat een woorden! Dit is een vrij lastige beschrijving voor een dusdanig belangrijke scan. In deze blog houden we het op de DPIA-scan en gaan we uitleggen wat deze inhoudt en wanneer je hem wel of niet moet (laten) uitvoeren.
Laten we beginnen bij het begin, wat is een DPIA-scan? Door middel van deze scan kunnen de privacyrisicoās van de verwerking van persoonsgegevens in kaart worden gebracht.
Een klein stapje terug, want wat waren die persoonsgegevens ook alweer? Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn naar een bestaand persoon.
Wanneer deze risicoās vooraf bekend zijn kunnen er tijdens de verwerking maatregelen getroffen worden om dit risico te verkleinen. De Algemene verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) en de Wet justitiĆ«le en strafvorderlijke gegevens (Wjsg) hebben deze scan verplicht wanneer de voorgenomen verwerking waarschijnlijk een hoog risico oplevert voor de mensen van de gegevens.
De uitvoering van DPIAās is vormvrij zolang er aan een aantal basisvereisten wordt voldaan:
Wanneer de risicoās niet goed in te perken zijn moet je de Autoriteit Persoonsgegevens (AP) raadplegen.
Na het uitvoeren ervan weet je:
Wanneer de DPIA verplicht is en wanneer niet is helaas nog niet zo zwart wit. De scan moet worden uitgevoerd wanneer er waarschijnlijk een hoog privacy risico bestaat bij het verwerken van de persoonsgegevens. Op de vraag of het risico van de verwerking waarschijnlijk hoog is moet je zelf beslissen als verwerker. Dat kan natuurlijk best lastig zijn.
Gelukkig zijn er wel een aantal handvatten die jou helpen bij deze afweging.
Zo zorgt de AVG voor een korte lijst met drie gevallen waarin je verplicht bent een DPIA-scan uit te voeren, de AP biedt een lange lijst met wel 17 gevallen en de Europese privacy toezichthouders die voor 9 criteria zorgen waaraan je kunt testen of jouw verwerking waarschijnlijk een hoog risico vormt.
Maar let op, dit zijn slechts een aantal gevallen en criteria wanneer het in ieder geval verplicht is, het kan dus zijn dat jij verplicht bent om een DPIA-scan uit te voeren maar dat jouw verwerking niet op een van deze lijsten staat.
Je moet natuurlijk altijd voldoen aan alle AVG-wetgeving, meer hierover lees je in onze blog āDe AVG, wat moet ik er meeā. Maar voor het wel of niet verplicht uit moeten voeren van de DPIA heeft de AVG drie situaties geschetst wanneer deze in ieder geval verplicht is.
De lange lijst van de Autoriteit Persoonsgegevens met in welke gevallen je verplicht bent om een DPIA-scan uit te voeren is te lang om hier helemaal te bespreken. Ook de Europese toezichthouders hebben 9 criteria opgesteld om te beoordelen of jouw voorgenomen verwerking van persoonsgegevens een hoog risico oplevert. Als het een hoog risico oplevert voor de betrokken personen moet je ook een DPIA uitvoeren. Voor de precieze lijsten sturen we je graag door naar de sites vanĀ autoriteit persoonsgegevensĀ enĀ Europese toezichthouders.
Het is dus allemaal vrij ingewikkeld hoe en wanneer je een DPIA-scan uit moet voeren. Lex raadt daarom aan om het zekere voor het onzekere te nemen en een DPIA-scan gemakkelijk en goedkoop door Lex uit te laten voeren! Zo weet je zeker hoe het zit! Check hem hier šš»
Als ondernemer ben je continu op zoek naar manieren om je bedrijf te innoveren, er is immers altijd ruimte voor verbetering. Maar alleen een probleem
In de dynamische wereld van het ondernemen zijn er verschillende vormen waarin bedrijven kunnen opereren. Het kiezen van de juiste ondernemingsvorm is van cruciaal belang