Krijg inzicht in risico's
Duidelijk stappenplan
Verduidelijkt succes- en faalfactoren
Data Protection Impact Assessment
Breng privacyrisico’s binnen uw bedrijf in kaart
In sommige gevallen is een DPIA verplicht. En in alle gevallen zal de uitkomst van de DPIA ingepast moeten worden in de ontwikkeling van uw dienst.
In 6 stappen een DPIA uitvoeren
Wie voert DPIA uit?
Bepaal wie de DPIA gaat uitvoeren en hoe dit moet gebeuren
De vragenlijst kan worden ingevuld door één persoon of door een team. Het heeft de voorkeur om de DPIA door een team uit te laten voeren. Privacy kent een multidisciplinaire insteek. De resultaten van de DPIA worden daardoor beter, doordat de verschillende deelnemers ieder vanuit hun eigen invalshoek het project kunnen bekijken.
Vergaar informatie
Verzamel en bestudeer relevante informatie
Om de DPIA vragenlijst zo goed mogelijk in te kunnen vullen, is informatie nodig over:
- Het project en de maatschappelijke context hiervan.
- Wie de belanghebbenden zijn en welke eisen en wensen zij hebben.
- Van wie de gegevens worden verzameld.
- Het type gegevens (o.a. de gevoeligheid) dat gebruikt gaat worden.
- De wijze waarop deze gegevens verzameld en verwerkt gaan worden.
- De verschillende systemen die gebruikt gaan worden om de gegevens te verzamelen, op te slaan en te versturen.
- De manier waarop de gegevens tussen de verschillende systemen worden uitgewisseld.
- Waar de gegevens voor worden gebruikt (het doel of doelen).
- De reikwijdte van de verdere verwerking van de gegevens.
- Of op basis van de gegevens persoonsprofielen worden gegenereerd.
- De bedrijfsprocessen die dit doel ondersteunen of realiseren.
Vul DPIA lijst in
Beantwoord de relevante vragen van de DPIA vragenlijst
De vragenlijst bestaat uit zeven risicogebieden die elke met een aantal vragen worden behandeld.
Risicogebieden die samenhangen met de omgeving waarin u opereert:
- Het type project.
- De gegevens die u wilt gebruiken.
- De partijen die betrokken zijn bij de uitvoering van het project.
Risicogebieden die samenhangen met een bepaalde fase van de verwerking:
- Het verzamelen van de gegevens.
- Het gebruik van de gegevens.
- Het bewaren en vernietigen van de gegevens.
- De beveiliging van de gegevens.
.
Beoordeel
Beoordeel de impact en bedenk waar nodig (aanvullende) maatregelen
Op basis van het overzicht van de risicogebieden waar de privacy van de betrokkene mogelijk wordt geschaad kan u een inschatting maken hoe groot de impact is binnen uw project en op uw organisatie. Vervolgens kunnen maatregelen genomen worden om de risico’s te verkleinen.
Bij het beoordelen van de impact zijn er twee zaken waar u rekening mee moet houden, namelijk ‘impact op de betrokkene’ en ‘impact op de organisatie’.
Rapport opstellen
Stel een uitgebreid DPIA-rapport op
De risicogebieden waar de privacy van de betrokkene mogelijk wordt geschaad volgen uit de ingevulde DPIA. Vervolgens wordt in het rapport ruimte geboden om de impact op de betrokkenen en op de organisatie zelf in te vullen. Daarnaast worden de belangen van zowel de betrokkenen als de organisatie beschreven. Vervolgens worden de belangen in relatie tot de impact gewogen en de rechtvaardiging van de gegevensverwerking beschreven.
Ook wordt ruimte opgenomen voor een advies over de eventuele noodzakelijke maatregelen om de rechtvaardiging van de gegevensverwerking te borgen. De overwegingen die ten grondslag liggen aan de antwoorden op de vragenlijst zijn een belangrijk onderdeel van het rapport en de aanbevelingen hier in.
(onafhankelijke) review
Laat eventueel een (onafhankelijke) review uitvoeren
Een review kan zowel intern als extern uitgevoerd worden.
Bij een interne review kan dit bijvoorbeeld uitgevoerd worden door personen die niet aan de uitvoering van de DPIA deel hebben genomen (dit is zeker aan te raden als het DPIA team niet breed opgezet is). Maar ook kan u denken aan personen van een ander project of personen uit de organisatie die verder van het project af staan.
Een externe review kan uitgevoerd worden door specifieke deskundigen.
Hierbij kan bijvoorbeeld een onafhankelijke beoordeling plaatsvinden op:
- Interpretatie en inschatting van de risico’s.
- Juridische interpretatie van de vragen en antwoorden.
- Praktische en inhoudelijke juistheid, haalbaarheid en volledigheid van voorgestelde maatregelen.
De benodigde expertise hangt uiteraard af van het doel van de review. Easylegal kan u hierbij zeker helpen
Voorkom kostbare aanpassingen in processen, herontwerp van systemen of stopzetten van een project door vroegtijdig inzicht in de belangrijkste privacy risico’s te verkrijgen.
Het is aan te raden een DPIA uit te voeren telkens u een nieuw project of nieuwe software ontwikkelt
Een goed uitgevoerde DPIA brengt in kaart welke persoonsgegevens u (gaat) verwerken, wat u allemaal gaat doen, wie deze gaat verwerken, welke risico’s daaraan verbonden zijn en welke veiligheden u inbouwt.
Een DPIA bij elk begin van een nieuw project
Vóóraleer een nieuw project aan te vangen is het verstandig een DPIA uit te voeren. Zo brengt u niet alleen risico’s in kaart maar voldoet u ineens aan de verplichting van privacy by design.
In sommige situaties is een DPIA verplicht
Dit is onder meer het geval wanneer u automatische besluitvorming gaat toepassen of op grote schaal bijzondere persoonsgegevens gaat verwerken. Ook wanneer u op grote schaal gaat monitoren (bv. cameratoezicht op de werkvloer).
Een DPIA brengt risico’s in kaart:
Elk nieuw project of belangrijke wijzigingen aan een bestaand project kan verregaande gevolgen of grote risico’s met betrekking tot persoonsgegevens tot gevolg hebben. Een goed uitgevoerde DPIA zorgt ervoor dat deze risico’s zichtbaar worden én reikt mogelijke oplossingen aan.
Herhaling is vereist
Eens een DPIA uitgevoerd, verdwijnt deze best niet in de onderste schuif. Processen wijzigen of andere gegevens worden verwerkt waardoor risico’s groter worden en verwerkingen grotere impact hebben op de rechten en veiligheden van betrokkenen.
Een DPIA wordt dan ook best ook tijdens de uitvoering van processen regelmatig toegepast.
Privacybescherming staat in toenemende mate in de belangstelling. Voor een groeiend aantal bedrijven is het zorgvuldig omgaan met persoonsgegevens een onderwerp waarmee zij zich in positieve zin willen onderscheiden van concurrerende bedrijven. Zij zien privacybescherming als ‘unique selling point’. In het belang van de klant, maar ook in het belang van een goede en integere dienstverlening. De uitvoering van een Privacy Impact Assessment zou een vanzelfsprekende maatregel moeten zijn bij de bouw van systemen en het aanleggen van databestanden.
Kosten DPIA
Template met stappenplan en vragenlijst waarmee u zelf een Data Protection Impact Assessment kan maken: € 347,- (excl. BTW). Eén van onze juristen kan deze nadien altijd reviewen.
Liever uitbesteden of hulp nodig? Onze juristen staan u bij met de uitvoering, de implementatie en gevolgen van een DPIA.
Meer informatie over deze dienst of u heeft een andere juridische vraag
Bel ons voor meer informatie op telefoonnummer: 0476/77.66.87, of stuur ons een mail via: info@easylegal.bel.
Vragen u terug te bellen via onderstaand contactformulier kan ook: één van onze juristen neemt dan vrijblijvend contact met u op.
Gerelateerde diensten
Recht voor start-ups
Een onderneming opstarten gaat met vele vragen gepaard waarbij juridische zaken regelen dikwijls uitgesteld worden. Niettemin is het belangrijk stil te staan bij een aantal elementen die u best van bij aanvang regelt, ook op vlak van internetrecht. Wij hebben dit alles voor u in een duidelijk overzicht samengebracht.
Fiscaal gunstige auteursrechten
Gemiddeld 30 % meer verdienen door gebruik te maken van het fiscaal gunstig regime voor auteursrechten. Geef je rechten in cessie of concessie en geniet van dit voordeel. Easylegal staat je hierin bij. Voor auteurs maar ook software developers, grafisch ontwerpers, marketeers, archtecten, sprekers, ...
FG/DPO dienst
Sedert de nieuwe privacywetgeving (GDPR/AVG) is het in vele gevallen verplicht een DPO aan te stellen. Zelfs indien niet verplicht is het in vele gevallen toch aangewezen beroep te doen op een DPO. Wij verzekeren voor u deze dienst, bij u in uw organisatie of vanop afstand en voor zoveel uren als u ons nodig heeft.