Home Kennisbank Ondersteunen van onderzoek Processen van de onderzoeker DPIA

DPIA

DPIA staat voor data protection impact assessment, een impactanalyse die wordt uitgevoerd bij een hoog risico rond gegevensverwerking. Bij het doen van onderzoek kan het nodig zijn een DPIA uit te voeren. Het proces rondom DPIA verschilt per onderwijsinstelling, maar zal inhoudelijk aan dezelfde eisen voldoen. Waar een DPIA aan moet voldoen is beschreven door de Autoriteit Persoonsgegevens.

In de volgende tekst wordt uitgelegd wanneer en waarom een DPIA moet worden uitgevoerd en wie er betrokken zijn bij de uitvoering van een DPIA.

Wat is een DPIA?

Een DPIA is een manier om in kaart te brengen wat de effecten voor betrokken personen zijn als er in (onderzoeks)projecten met persoonsgegevens wordt gewerkt. Op basis van deze analyse worden maatregelen bepaald om de effecten voor betrokkenen te voorkomen of verkleinen.

Wanneer voer je een DPIA uit?

Een DPIA moet zo vroeg mogelijk in het onderzoekstraject worden uitgevoerd; in elk geval op tijd om de uitkomsten van de DPIA mee te nemen in het verdere verloop van het traject.

Middels een preDPIA of DPIA-check wordt inzichtelijk of je een DPIA moet uitvoeren. Deze check maakt meestal onderdeel uit van het datamanagementplan (DMP), welke voor aanvang van het onderzoek wordt ingevuld.

Waarom voer je een DPIA uit?

Het uitvoeren van een DPIA is verplicht wanneer de verwerking van persoonsgegevens een hoog privacyrisico oplevert.

Het doel hierbij is:

het bepalen van de impact op de betrokkenen waarvan je gegevens gaat verwerken
het identificeren van privacy risico's en deze binnen het project adresseren
het expliciet meenemen van privacybescherming in het ontwerp van het systeem of proces (privacy by design en privacy by default)

Wie is verantwoordelijk voor het uitvoeren van een DPIA?

De penvoerder van het onderzoek is verantwoordelijk voor het (laten) uitvoeren van een DPIA. Dit kan bijvoorbeeld een instituut of afdeling zijn binnen de (onderwijs)organisatie.

Bij het uitvoeren van een DPIA zijn experts vanuit de organisatie betrokken, bijvoorbeeld een privacy officer of informatiemanager. Datastewards kunnen ondersteunen bij het invullen van een preDPIA / DPIA-check.

Wat doe je na vaststelling van de DPIA?

Met het vaststellen van de DPIA zijn de privacy risico's in beeld gebracht en is duidelijk met welke maatregelen je deze risico's voorkomt of minimaliseert.

Op basis hiervan kunnen de volgende acties worden uitgevoerd:

integreer de uitkomsten en aanbevelingen van de DPIA in het ontwerp van je onderzoeksproject
wijzigt de verwerking of veranderen de risico's tijdens het onderzoek, check dan of de verwerking nog in overeenstemming is met de DPIA - is dit niet het geval, herijk dan de DPIA

Meer informatie

De webpagina Data protection impact assessment (DPIA) van de Autoriteit Persoonsgegevens geeft uitgebreide informatie over de DPIA. Het beschrijft onder andere de soorten verwerkingen en criteria die (helpen) bepalen of een DPIA noodzakelijk is.