Data Protection Impact Assessment (DPIA)

Wanneer de verwerking van persoonsgegevens een hoog privacyrisico oplevert ben je als organisatie verplicht een 'data protection impact assessment' (DPIA) uit te voeren, voordat de verwerking plaatsvindt.

De Autoriteit Persoonsgegevens omschrijft een DPIA als volgt:

Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat de organisatie maatregelen kan nemen om deze risico’s te verkleinen.

Bepaling en uitvoering

Als organisatie bepaal je zelf of een DPIA uitgevoerd moet worden. Ook de manier waarop een DPIA uitgevoerd wordt is aan de organisatie zelf. Wel zijn er vereisten waaraan de DPIA moet voldoen.

Hoe bepaal je of een DPIA nodig is en waaraan moet een DPIA voldoen? De onderstaande webpagina geeft uitgebreide informatie en criteria hierbij:

Data protection impact assessment (DPIA) | Autoriteit Persoonsgegevens

DPIA in het onderzoeksproces

Ook bij onderzoeksprojecten kan het nodig zijn een DPIA uit te voeren wanneer persoonsgegevens worden verzameld en verwerkt.

Wil je meer weten over DPIA bij (praktijkgericht) onderzoek binnen de onderwijsinstelling, raadpleeg dan de pagina DPIA in het onderzoeksproces.