Newsflash: Model beschikbaar voor effectbeoordeling (DPIA) in kader van de GDPR

Volgens art. 35 GDPR is een gegevensbeschermingseffectbeoordeling (te onthouden woord voor een volgende Scrabble-avond) of ‘GEB’ verplicht voor bepaalde gegevensverwerkingen, ook wel bekend onder de term Data Protection Impact Assessment of ‘DPIA’.

Een DPIA is een verplichte, interne oefening voorafgaand aan verwerkingen van persoonsgegevens die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen. Bedoeling is dat de risico’s vooraf worden ingeschat en beheerd.

Er bestonden al enkele nuttige hulpdocumenten hieromtrent, waaronder:

  • een handleiding van de Gevensbeschermingsautoriteit (‘GBA’);
  • een lijst van de GBA van verwerkingen waarvoor een DPIA verplicht is;
  • richtsnoeren van de Werkgroep Gegevensbescherming Artikel 29 of ‘Working Party’;
  • een lijst van de Vlaamse Toezichtcommissie (‘VTC’) van verwerkingen waarvoor een DPIA verplicht is voor de Vlaamse bestuursinstanties.

Nieuw is het model voor een DPIA dat de VTC heeft opgesteld.

Het model is niet verplicht, maar kan wel helpen in de praktijk.

Dit artikel werd geschreven door

Op zoek naar advies rond een bepaald onderwerp?

We begeleiden je naar de juiste persoon of team.