Een DPIA is een verplichte, interne oefening voorafgaand aan verwerkingen van persoonsgegevens die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen. Bedoeling is dat de risico’s vooraf worden ingeschat en beheerd.
Er bestonden al enkele nuttige hulpdocumenten hieromtrent, waaronder:
- een handleiding van de Gevensbeschermingsautoriteit (‘GBA’);
- een lijst van de GBA van verwerkingen waarvoor een DPIA verplicht is;
- richtsnoeren van de Werkgroep Gegevensbescherming Artikel 29 of ‘Working Party’;
- een lijst van de Vlaamse Toezichtcommissie (‘VTC’) van verwerkingen waarvoor een DPIA verplicht is voor de Vlaamse bestuursinstanties.
Nieuw is het model voor een DPIA dat de VTC heeft opgesteld.
Het model is niet verplicht, maar kan wel helpen in de praktijk.