Privacy wetgeving AVG / GDPR: een simpele DPIA - Data Protect Impact Assessment

De privacy wetgeving AVG – Algemene Verordening Gegevensbescherming / GDPR – General Data Protection Regulation komt eraan. Een DPIA - Data Proctection Impact Assessment kan daarin een verplicht onderdeel zijn. Een gegevensbeschermingseffectbeoordeling als goed nederlands ‘Scrabbel woord’.

Als het dan toch moet, is veel te zeggen voor een simpele aanpak. Het vraagt allemaal weer extra aandacht ..

Stap 1 – Verplicht of wenselijk?
De richtlijnen voor een DPIA geven aan wanneer een DPIA verplicht is. Bij een ‘waarschijnlijk hoog risico’ of wanneer aan een van de negen criteria wordt voldaan zoals geautomatiseerde besluitvorming, verwerking op grote schaal, samenvoegen van gegevens.
Daarnaast kan het ook wenselijk zijn, bijvoorbeeld bij het introduceren van een innovatieve gegevensverwerking.

Stap 2 – Wat is er al?
Op verschillende plekken in de organisatie moeten tegenwoordig risico-analyses worden uitgevoerd: kwaliteitszorg, RIE, BRZO enz.
Eenzelfde methodiek maakt het een stuk gemakkelijker en de resultaten kunnen dan ook vergeleken worden.

Stap 3 – In bestaande managementsysteem?
Heeft een organisatie al een managementsysteem dan is er al een systeem van beoordelen, evalueren en bijsturen (PDCA-cyclus). Bevat dit managementsysteem ook een risico-analyse dan is uitbreiding met een DPIA mogelijk een (simpele) oplossing.

Stap 4 – ‘Beter goed geleend dan slecht bedacht’
In ons managementsysteem Proware hebben we een risicomodule die breed toepasbaar is. Bekijk ons voorbeeld of neem contact op bij vragen.