Het verwerken van (persoons)gegevens brengt risico’s met zich mee. Voor het in kaart brengen van privacyrisico’s van gegevensverwerkingen worden DPIA’s als instrument gebruikt. Zo kunnen vooraf maatregelen genomen worden om risico’s te verkleinen.
Wat is een DPIA?
DPIA staat voor Data Protection Impact Assessment. Het wordt ook wel eens PIA (Privacy Impact Assessment) of GEB (GegevensbeschermingsEffectBeoordeling) genoemd. In het nieuwe Rijksmodel wordt echter alleen nog gesproken over model DPIA Rijksdienst.
Model DPIA Rijksdienst
Het uitvoeren van een DPIA kan ingewikkeld zijn. Daarom heeft de overheid een model opgesteld om organisaties hierbij te helpen; het model DPIA Rijksdienst. Dit model wordt gebruikt binnen de overheid, maar door het toevoegen van eigen specifieke elementen is dit model bruikbaar voor elke organisatie.
Het model DPIA Rijksdienst bestaat uit drie onderdelen:
-
Proceskader
Het eerste gedeelte van dit model geeft onder andere uitleg over wat een DPIA is, in welke gevallen deze verplicht is en hoe je deze moet uitvoeren. -
Model DPIA Rijksdienst
Dit gedeelte dient als leidraad voor het opstellen van een DPIA en is verdeeld in vier onderdelen en zeventien vragen. Bij onderdeel A staan de algemene kenmerken van de gegevensverwerkingen en onderdeel B beoordeelt de rechtmatigheid van de behandelde feiten uit onderdeel A. Onderdeel C gaat over risico’s voor de rechten en vrijheden van betrokkenen en onderdeel D gaat over de beoogde maatregelen om die risico’s aan te pakken. -
Toelichting
In het laatste gedeelte wordt het model en de vragen uit het tweede onderdeel uitgelegd en met behulp van voorbeelden toegelicht en verduidelijkt.
Naast het model DPIA Rijksdienst is er ook het rapportagemodel DPIA Rijksdienst. Het rapportagemodel wordt gebruikt als sjabloon voor een DPIA-rapportage. Deze twee modellen kunnen het beste naast elkaar worden gebruikt.
Op de site van Kenniscentrum voor beleid en regelgeving vind je nog meer informatie over DPIA's en het model DPIA Rijksdienst en het Rapportagemodel DPIA Rijksdienst.