DPIA - Bestaande verwerkingen
Moet je als zorgaanbieder ook een DPIA doen voor bestaande verwerkingsactiviteiten?
Ja, soms moet je alsnog een DPIA uitvoeren voor een bestaande verwerking. Dit moet gebeuren als er iets is veranderd aan het risico van de gegevensverwerking en dit vervolgens een hoog privacyrisico oplevert.
Geen DPIA nodig
Je hoeft niet alsnog een DPIA uit te voeren als één van de volgende drie situaties van toepassing is:
- je gegevensverwerking levert waarschijnlijk géén hoog privacyrisico op;
- je hebt voor deze verwerking al eens een voorafgaand onderzoek door de AP laten uitvoeren en de verwerking is in de tussentijd niet veranderd;
- de risico's van de verwerking zijn niet veranderd.
Wat als een bestaande verwerking verandert?
Verandert er na 25 mei 2018 iets in een bestaande verwerking of in de risico’s van die verwerking? Dan kan een DPIA alsnog verplicht zijn. Een bestaande gegevensverwerking kan bijvoorbeeld veranderen als je een nieuwe technologie gaat gebruiken. Of als je de persoonsgegevens voor een ander doel gaat gebruiken. In die situaties moet je, net als bij een nieuwe gegevensverwerking, vaststellen of de gewijzigde verwerking waarschijnlijk een hoog privacyrisico oplevert. Zo ja, dan ben je alsnog verplicht een DPIA uit te voeren.
Voorafgaand onderzoek
Het kan zijn dat de AP al eens een voorafgaand onderzoek heeft gedaan naar een bepaalde gegevensverwerking. Misschien heb je daarvoor goedkeuring gekregen. Ook dan geldt dat je geen DPIA over die verwerking hoeft uit te voeren. Tenzij er ná 25 mei 2018 een verandering optreedt in de verwerking die waarschijnlijk een hoog risico inhoudt.
Meer vragen en antwoorden over dit onderwerp lees je in het DPIA-dossier van de AP.
Stappenplan DPIA
Is een DPIA verplicht? Het doorlopen hiervan is een ingewikkeld proces. De AVG-Helpdesk biedt daarom een handig stappenplan aan. Dit stappenplan helpt je bij de uitvoering van een DPIA.