Een Data Protection Impact Assesment (DPIA), of gegevensbeschermingseffectbeoordeling, wordt in sommige gevallen verplicht door de GDPR. De verplichting geldt wanneer er een gegevensverwerking met een hoog risico plaatsvindt, waarbij nieuwe technologieën worden gebruikt.
De GDPR geeft zelf drie gevallen waarin aan deze voorwaarden is voldaan:
- Het gaat om een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;
- Het is een grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten;
- Er is sprake van stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
Er zal slechts in een zeer beperkt aantal situaties voldaan zijn aan deze voorwaarden, wat betekent dat een DPIA voor de meeste verwerkingen niet verplicht is.
Dit betekent echter niet dat het geen goed idee is een DPIA uit te voeren. Wanneer uw organisatie namelijk een verwerking van persoonsgegevens doet, of gaat doen, is het interessant om een goed overzicht te hebben van de verwerking. Uw organisatie moet steeds op een verantwoorde manier omgaan met de persoonsgegevens die er verwerkt worden.
Enkele zaken die u dient te weten om op verantwoorde manier met persoonsgegevens om te gaan, zijn: de plaats waar de gegevens worden opgeslagen, wat er met de gegevens gebeurt, op welke rechtsgrond de gegevens verwerkt worden, de technische en organisatorische maatregelen die uw organisatie zal (moeten) nemen om de gegevens te beschermen,… Dit zijn de elementen die in een DPIA onderzocht worden.
Wanneer uw organisatie op een verantwoorde manier met persoonsgegevens wil omgaan, zal u een soort effectenbeoordeling moeten uitvoeren omtrent de verwerking. Wanneer u aan de voorwaarden die de GDPR stelt voldoet, is dit een geformaliseerde DPIA. Indien u niet voldoet aan de voorwaarden, zal deze beoordeling sterk lijken op een DPIA, zij het minder geformaliseerd.