Wat is een DPIA en wanneer is een DPIA verplicht?
Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. In de Nederlandse vertaling van de AVG wordt de term Data Protection Impact Assessment (DPIA) gegevensbeschermingseffectbeoordeling genoemd.
Organisaties hoeven, zodra de AVG geldt, niet voor elke gegevensverwerking een DPIA uit te voeren. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:
- systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering;
- op grote schaal bijzondere persoonsgegevens verwerkt;
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
Buiten deze drie situaties geeft de AVG geen overzicht van verwerkingen met een hoog risico. De Europese privacytoezichthouders hebben criteria opgesteld om het risico te bepalen. Daarnaast zal de Autoriteit Persoonsgegevens (AP) op termijn een lijst publiceren van verwerkingen waarvoor een DPIA verplicht is.