Data Protection Impact Assessment (DPIA) verplicht?
Op grond van de Algemene Verordening Gegevensbescherming (AVG) kan een organisatie verplicht zijn een Data Protection Impact Assessment (DPIA) uit te voeren. Dit is het geval als de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Als een DPIA verplicht is, dan mag de verwerking van persoonsgegevens pas plaatsvinden na uitvoering van de DPIA. Het uitvoeren van een DPIA is in ieder geval verplicht wanneer een organisatie:
- systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering;
- op grote schaal bijzondere persoonsgegevens verwerkt;
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
Aan de hand van diverse criteria die door de Europese privacytoezichthouders zijn opgsteld, kan het risico concreet worden bepaald.
DPIA uitvoeren?
Bent u benieuwd of dat uw organisatie verplicht is om een DPIA te voeren? Neem dan vrijblijvend contact met ons op voor meer informatie over onze diensten of wanneer u andere vragen heeft in het kader van de AVG.