Nieuws

Een DPIA: wat is het en wanneer heb je deze nodig?

Nieuws 16 oktober 2024
Expert
Erik van Assen
Erik van Assen
Manager Sectorontwikkeling & Professionalisering

Ben je als corporatie van plan persoonsgegevens te verwerken en levert dat een hoog privacyrisico op? Dan ben je verplicht eerst een Data Protection Impact Assessment (DPIA) uit te voeren. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat je maatregelen kan nemen om deze risico’s te verkleinen.

De verplichting om een DPIA uit te voeren staat in de:

  • Algemene verordening gegevensbescherming (AVG)
  • Wet politiegegevens (Wpg)
  • Wet justitiële en strafvorderlijke gegevens (Wjsg).

In deze wetten wordt de DPIA een gegevensbeschermingseffectbeoordeling (GEB) genoemd.

Wanneer een DPIA?

Als corporatie moet je zelf bepalen of jouw gegevensverwerking een hoog privacyrisico oplevert. En je dus een DPIA moet uitvoeren. De AVG, de Autoriteit Persoonsgegevens en de European Data Protection Board hebben criteria die hierbij kunnen helpen. 

DPIA volgens de AVG

De Algemene Verordening gegevensbescherming (AVG) geeft aan dat je in ieder geval een DPIA moet uitvoeren als je corporatie: 

  • Systematisch en uitgebreid persoonlijke aspecten van mensen beoordeelt. Dit doet op basis van geautomatiseerde verwerking van persoonsgegevens, waaronder profiling. En als de corporatie hierop besluiten baseert die gevolgen hebben voor mensen. Bijvoorbeeld dat zij geen lening kunnen afsluiten. Een voorbeeld hiervan is creditscoring.
  • Op grote schaal bijzondere persoonsgegevens verwerkt.
  • Strafrechtelijke gegevens verwerkt.
  • Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied. Bijvoorbeeld met cameratoezicht.
Kijk ook eens bij

De 9 criteria van de EDPB

De European Data Protection Board (EDPB), de Europese privacytoezichthouder, geeft een lijst van 9 criteria. Verwerkingen die aan 2 van die criteria voldoen moeten worden beoordeeld aan de hand van een DPIA.

De autoriteit Persoonsgegevens (AP)heeft een lijst opgesteld van soorten verwerkingen waarvoor het uitvoeren van een DPIA verplicht is, voordat je met verwerken begint.

Let op:

  • De DPIA-lijst van de AP is niet uitputtend. Het kan zijn dat jouw verwerking niet op deze lijst staat. Je moet dan zelf beoordelen of jouw verwerking een hoog privacyrisico oplevert voor de mensen van wie je gegevens wilt verwerken.
  • In de lijst komen de begrippen 'grootschalig', 'systematisch' en 'stelselmatig' voor. Het begrip ‘grootschalig’ is door de EU-privacytoezichthouders verder ingevuld, de begrippen 'systematisch' en 'stelselmatig' (nog) niet. Je moet hierbij denken aan verwerkingen die volgens een bepaald systeem plaatvinden. Zoals een verwerking die is opgenomen in de systemen of in het beleid van een organisatie. Verwerkingen die ad hoc of incidenteel plaatsvinden, zijn geen systematische of stelselmatige verwerkingen.
  • Deze lijst is afgestemd in EU-verband. Periodiek bekijken de EU-privacytoezichthouders of de lijst moet worden aangepast.
  • Jouw verwerking moet altijd voldoen aan de AVG, je moet dus altijd nagaan of je voor de verwerking een geldige grondslag hebt. Heb je dat niet, dan mag je de persoonsgegevens niet verwerken. Ongeacht de uitkomsten van een eventuele DPIA.

Hulpmiddelen bij de DPIA

DPIA-checklist
Moet je bij nieuwe verwerkingen een DPIA uitvoeren? Bepaal aan de hand van een schema van de Autoriteit Persoonsgegevens of je verplicht bent om een data protection impact assessment (DPIA) uit te voeren, voordat je met de verwerking mag starten. 
→ Ga naar het schema van de Autoriteit Persoonsgegevens

Stappenplan DPIA
Voor de start van het verwerken van (persoons) gegevens is het nodig om alle privacy-risico’s in kaart te brengen en maatregelen te nemen om deze risico’s te verkleinen. Een Data Protection Impact Assessment (DPIA) helpt hierbij. Om duidelijk te maken hoe zo’n DPIA-proces verloopt en welke stappen je tijdens dit proces moet doorlopen, heeft Aedes dit in een schema verwerkt.
→ Stappenplan DPIA (alleen voor Aedes-leden)

Modelprotocol Signaleringslijst Ongewenst Huurdersgedrag
Met het (model)Protocol Signaleringslijst Ongewenst Huurdersgedrag kun je bij de verwerking van gegevens in de signaleringslijst voldoende rekening houden met de wettelijk vereiste bescherming van persoonsgegevens. En een juiste afweging van belangen maken. Met de (model)DPIA breng je de privacy-risico’s voor betrokkenen in kaart bij het gebruik van de signaleringslijst. Ook kun je hiermee maatregelen benoemen die deze risico’s wegnemen of verkleinen.
→ Modelprotocol Signaleringslijst Ongewenst Huurdersgedrag

Model-DPIA voor digitale inkomensverklaring
De model-DPIA heeft als doel een handreiking te bieden bij een aantal generieke elementen die in een DPIA terug horen te komen en waar veel overeenkomst is tussen individuele woonruimteverdelers of corporaties. Daarnaast heeft de model-DPIA als doel om een basistekst aan te bieden bij een aantal elementen dat mogelijk nog specifiek gemaakt moet worden voor de woonruimteverdeler of corporatie.
→ Model-DPIA voor digitale inkomensverklaring
 

Lees meer over

Informatiebeveiliging en privacy

Gerelateerd

Gratis plusversie van Samen Digitaal Veilig eindigt binnenkort

Nieuws 24 sep 2024

Veel corporaties maakten het afgelopen jaar gebruik van de gratis plusversie van Samen Digitaal Veilig, die Aedes...

Handige hulpmiddelen bij informatiebeveiliging

Je wilt als corporatie aan de slag met informatiebeveiliging. Maar waar begin je en wat is er allemaal al? In 7...

Heb jij je digitale veiligheid op orde?

Nieuws 6 nov 2023

Digitaal werken heeft veel voordelen. Maar er kleven ook risico’s aan: internetcriminelen vinden elke dag weer...

Digimeter: online tool voor digitale volwassenheid RvC’s en corporaties

De Vereniging van Toezichthouders in Woningcorporaties (VTW) lanceerde de VTW Digimeter. Met deze online...