Wanneer uw onderneming  gegevens verwerkt met een hoog privacy risico is een zogeheten data protection impact assessment (DPIA) verplicht. Een DPIA is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. Om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Maar hoe weet een MKB onderneming überhaupt of ze een hoog privacy risico heeft?

Dit kan met de DPIA, een dergelijke beoordeling omvat twee fasen waarin de eerste fase bestaat uit een praktische set van vragen die u kunt beantwoorden om zo snel tot een inzicht te komen of bepaalde verwerkingen een hoog privacy risico omvatten. Dit moet u als ondernemer zelf bepalen. De werkgroep van Europese privacytoezichthouders (WP29) heeft een lijst van negen criteria opgesteld om u hierbij te helpen.

Als vuistregel kunt u hanteren dat u een DPIA moet uitvoeren als uw verwerking aan 2 of meer van de onderstaande 9 criteria voldoet. Blijkt dus uit de antwoorden dat de privacy risico’s hoog zijn, welke concreet betekend dat er twee of meer Ja antwoorden zijn gegeven, neem dan maatregelen om de risico’s te verkleinen.

Beoordeling van mensen op basis van persoonskenmerken

Gebruikt u geautomatiseerde beslissingen

Is er stelselmatige en grootschalige monitoring

Betreft het gevoelige gegevens (bijv. strafrechtelijke en financiele)

Er is sprake van grootschalige gegevensverwerkingen

Worden er gegevens uit twee of meer verschillende bronnen gecombineerd

De verwerking bevat gegevens van kwetsbare personen

U gebruikt nieuwe technologieën voor uw verwerkingen

Verwerken leidt tot blokkering van een recht, dienst of contract

Let op: deze 9 criteria zijn een handreiking om in te schatten of u een DPIA moet uitvoeren. Ook als u aan slechts één of geen van deze criteria voldoet, moet u goed kunnen onderbouwen waarom u ervoor kiest om geen DPIA uit te voeren. Dit maakt onderdeel uit van de verantwoordingsplicht. De tweede fase is de uitkomst, van de eerste vragen aangaande de noodzaak van een DPIA, waarin u als onderneming tot de slotsom komt dat er een hoog privacy risico is. Een volledige DPIA (bijvoorbeeld naar het voorbeeld van NOREA) kan uw onderneming daarbij op weg helpen.  U vindt een handreiking voor de uitvoering van een DPIA op de website van de beroepsorganisatie van IT-auditors (NOREA).