fbpx

Is een organisatie wettelijk verplicht om een DPIA te publiceren?

In Nederland zijn organisaties verplicht een data protection impact assessment (DPIA) uit te voeren wanneer een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor betrokkenen. Veel organisaties vragen zich af of ze ook wettelijk verplicht zijn om een DPIA te publiceren? Volgens de AVG is de publicatie van een DPIA niet verplicht, maar het is wel aan te raden om het wel te doen.

Waarom een DPIA uitvoeren?

Een verwerkingsverantwoordelijke moet een DPIA uitvoeren wanneer de verwerking van gegevens waarschijnlijk een hoog privacyrisico oplevert voor mensen van wie de organisatie gegevens gaat verwerken. Een DPIA wordt ook wel een gegevensbeschermingseffectbeoordeling (GEB) genoemd. De Algemene verordening gegevensbescherming (AVG) geeft aan dat er in ieder geval een DPIA moet worden uitgevoerd als een bedrijf of organisatie:

  • systematisch en uitgebreid persoonlijke aspecten evalueert op basis van geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor betrokkenen;
  • op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

 

De AP heeft daarnaast een lijst van soorten verwerkingen opgesteld waarvoor de uitvoering van een DPIA verplicht is voordat een organisatie begint met gegevensverwerking. Deze lijst is niet uitputtend. Soms moet een organisatie zelf beoordelen of een verwerking hoog privacyrisico oplevert voor betrokkenen. Voor deze beoordeling kan de organisatie gebruik maken van de 9 criteria die de Europese privacytoezichthouders hebben opgesteld.

 

Waarom een DPIA publiceren?

Het publiceren van een DPIA-rapport is niet verplicht op grond van de AVG. Maar je hebt als verwerkingsverantwoordelijke wel de algemene informatieplicht waar je aan moet voldoen door de betrokkenen te informeren over verwerking van hun persoonsgegevens (artikel 5 lid 1 onder a en artikel 12 tot en met 14 AVG). Door een DPIA-rapport te publiceren, kan je als organisatie het vertrouwen in jouw gegevensverwerkingen bevorderen. Je bent als organisatie transparant en je legt hiermee verantwoording af.

Het publiceren van een DPIA kan ook nuttig zijn, zodat andere bedrijven of organisaties hier ook iets aan hebben. Vaak worden DPIA’s uitgevoerd op het gebruik van systemen, die vaak door veel meer organisaties worden gebruikt. Door kennis, ervaring en feedback met elkaar te delen, kan een DPIA steeds beter worden.

 

Aandachtspunten publicatie DPIA

Het gepubliceerde DPIA-rapport hoeft niet de hele beoordeling te bevatten. Een organisatie moet rekening houden met bedrijfsgevoelige informatie, zoals concurrentiegevoelige informatie of informatie over beveiligingsrisico’s. Denk ook aan beveiligingsinstellingen die hun werking (deels) kunnen verliezen bij openbaarmaking.

Conclusie

Een organisatie is niet verplicht een DPIA openbaar te maken, maar het kan zowel de organisatie als anderen helpen bij het naleven van de AVG. Let bij de publicatie van een DPIA-rapport wel goed op vertrouwelijke bedrijfsgegevens.

Aanbod Cybersecurity Trainingen

Ben je op zoek naar een Cybersecurity Training? In ons aanbod vind je trainingen voor elke professional: van Data Protection Officer tot trainingen voor werknemers.