Een Data Protection Impact Assessment (DPIA) is verplicht bij risicovolle verwerkingen. Zo voer je er een uit.
Wanneer verplicht?
Een DPIA is nodig bij:
- Grootschalige verwerking van bijzondere gegevens
- Systematische monitoring van openbare ruimtes
- Profilering met rechtsgevolgen
- Nieuwe technologieën met hoog risico
- AI-systemen die beslissingen nemen over mensen
Het stappenplan
Stap 1: Beschrijf de verwerking
- Welke gegevens?
- Van wie?
- Waarom?
- Hoe?
- Wie heeft toegang?
Stap 2: Beoordeel noodzaak
- Is de verwerking noodzakelijk voor het doel?
- Is er een minder ingrijpend alternatief?
- Zijn de gegevens proportioneel?
Stap 3: Identificeer risico's
- Wat kan misgaan?
- Wat zijn de gevolgen voor betrokkenen?
- Hoe waarschijnlijk is dit?
Stap 4: Bepaal maatregelen
- Hoe beperkt je risico's?
- Technische maatregelen (encryptie, access control)
- Organisatorische maatregelen (procedures, training)
Stap 5: Documenteer en review
- Leg alles vast
- Review periodiek
- Update bij wijzigingen
Bij hoog restrisico
Als risico's niet voldoende kunnen worden gemitigeerd: voorafgaande raadpleging bij de Autoriteit Persoonsgegevens.