DPIA Verplicht volgens AP

De Autoriteit Persoonsgegevens heeft op 27 november 2019, een definitieve lijst van verwerkingen waarvoor een DPIA verplicht is in de Staatscourant gepubliceerd. DPIA is de afkoring voor een Data Protection Impact Assessment. Dat is een speciale risicoanalyse op het gebied van privacy.

Wanneer een organisatie op een nieuwe manier gegevens gaat verwerken of wijzigt moet dit worden onderzocht door zo’n DPIA . Hierdoor krijgt de organisatie zicht op de (mogelijke) risico’s die zo’n verwerking met zich meebrengen. Daardoor moet de organisaties gedwongen nadenken over de nut en noodzaak van bepaalde gegevens.

DPIA verplicht bij diverse verwerkingen

De Autoriteit Persoonsgegevens heeft dus een lijst gepubliceerd waaruit blijkt in welke gevallen een DPIA verplicht is. (Speciaal)Onderwijsorganisaties worden in deze lijst expliciet genoemd. Deze lijst kent nog altijd ‘grijze gebieden’. Een organisatie moet zelf de definitieve overweging maken om wel of geen DPIA uit te voeren. Indien er géén DPIA is uitgevoerd kan de AP optreden en een boete opleggen. Deze boete is een Categorie II boete. Deze boete kan oplopen van €120.000 tot €500.000 afhankelijk van de jaaromzet. Ook kan het AP eisen dat de verwerking wordt stopgezet, of een last onder dwangsom opleggen. Een organisatie krijgt een boete opgelegd die oploopt als de verwerking alsnog doorgaat zonder verplichte DPIA.

Zoals altijd is ook hier het bevoegd gezag is verantwoordelijk voor het uitvoeren van een DPIA. Wie een DPIA (verplicht) uitvoert is afhankelijk van de inrichting van de organisatie. Dit kan een Privacy Officer zijn. Dat is de intern verantwoordelijke persoon voor privacy of een externe adviseur. De Functionaris Gegevensbescherming is adviserend. Deze houdt de uitvoering van de DPIA in de gaten en geeft advies.

Mochten er nog vragen zijn over een nieuwe verwerking of dat u ook een DPIA verplicht moet uitvoeren, neem contact op met ons Team AVG Erwin Boom of Arnelieke de Bondt