DPIA’s (laten) uitvoeren; hoe doe je dat nou?

door Aakriti Bhatia, Program Manager Profit, ICTRecht

Het uitvoeren van een Data protection Impact Assessment (DPIA en in het Nederlands: gegevensbeschermingseffectbeoordeling) is vaak een van de hete hangijzers binnen een organisatie. Onder andere het beleggen van de verantwoordelijkheid tot het uitvoeren van DPIA’s kan al voor discussies zorgen. Niemand lijkt een DPIA echt uit te willen voeren omdat het (commerciële) plannen kan vertragen en dus blijft het vaak liggen. Toch is het uitvoeren van DPIA’s wettelijk verplicht. Hoe pak je de implementatie van deze verplichting succesvol aan?

Modelkeuze

Met een DPIA worden vooraf de privacyrisico’s van een gegevensverwerking in kaart gebracht. Om deze risico’s in kaart te brengen en af te wegen, zijn er verschillende DPIA-modellen in omloop. Je kunt zelf kiezen voor een bepaald model dat je wilt gaan (laten) gebruiken, zolang deze maar aan de basisvereisten voldoet uit artikel 35 van de AVG. Voor het kiezen of samenstellen van een model kun je rekening kunt houden met de volgende factoren:

• In welke landen is mijn organisatie actief?
• Hoe risicovol zijn de verwerkingen die binnen mijn organisatie worden verricht?
• Wie gaan DPIA’s uitvoeren binnen mijn organisatie, en hoe is hun kennisniveau op het gebied van privacy?

[...]