DPIA en de AVG: dit moet je als ondernemer weten

Wat is een DPIA en waarom is het belangrijk voor ondernemers?

Een DPIA is een systematische risicoanalyse. Je onderzoekt welke gevolgen een gegevensverwerking kan hebben voor de privacy van betrokkenen, zoals klanten of medewerkers, en welke maatregelen nodig zijn om deze risico’s te beperken. De AVG schrijft voor dat een DPIA verplicht is wanneer een gegevensverwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van personen.

Wanneer is een DPIA verplicht?

Een DPIA is onder andere vereist bij:

• Profilering of geautomatiseerde besluitvorming, zoals krediet- of risicoscoring.
• Grootschalige verwerking van bijzondere persoonsgegevens, bijvoorbeeld medische gegevens.
• Stelselmatige monitoring, zoals cameratoezicht, GPS‑tracking of controle van e‑mailgebruik.
• Het gebruik van nieuwe technologieën waarvan de privacy‑impact nog onvoldoende bekend is.

De Autoriteit Persoonsgegevens heeft een lijst opgesteld met verwerkingen waarvoor altijd een DPIA moet worden uitgevoerd. Ook wanneer een verwerking niet expliciet op deze lijst staat, moet je zelf beoordelen of een DPIA noodzakelijk is.

Wat staat er in een DPIA?

Een DPIA bevat minimaal een:

• Beschrijving van de gegevensverwerkingen en de doeleinden.
• Beoordeling of de verwerking noodzakelijk is en niet verder gaat dan nodig.
• Analyse van de privacyrisico’s voor betrokkenen.
• Omschrijving van technische en organisatorische maatregelen om deze risico’s te beperken.

Met een DPIA toon je aan dat je zorgvuldig met persoonsgegevens omgaat en voldoet aan de verplichtingen uit de AVG.

DPIA en monitoring van medewerkers

Gebruik je persoonsgegevens om activiteiten van medewerkers te volgen of te controleren? Denk aan cameratoezicht, GPS‑systemen in bedrijfswagens of controle van e‑mail- en internetgebruik. In deze situaties is een DPIA vrijwel altijd verplicht. Heeft jouw organisatie een functionaris gegevensbescherming (FG), dan moet deze worden betrokken bij het uitvoeren van de DPIA en hierover adviseren. Blijkt uit de DPIA dat de beoogde verwerking een hoog risico oplevert dat niet voldoende kan worden beperkt, dan ben je verplicht vooraf overleg te voeren met de Autoriteit Persoonsgegevens (voorafgaande raadpleging).

Wat betekent dit voor jou als ondernemer?

Een DPIA helpt je om privacyrisico’s tijdig te signaleren en passende maatregelen te nemen. Daarmee verklein je de kans op overtredingen van de AVG en creëer je duidelijkheid binnen je organisatie over de omgang met persoonsgegevens. Dit geldt niet alleen voor grote organisaties. Ook kleinere ondernemingen kunnen verplicht zijn om een DPIA uit te voeren.

Meer weten?

aaff is graag overal van betekenis. Wil je weten wat een DPIA voor jouw organisatie betekent of heb je vragen over de toepassing van de AVG in de praktijk? Neem contact op met onze juristen gegevensbescherming zij denken graag met je mee.