DPIA - Bestaande verwerkingen

Moet je als zorgaanbieder ook een DPIA doen voor bestaande verwerkingsactiviteiten?

Ja, soms moet je alsnog een data protection impact assessment (DPIA) uitvoeren voor een bestaande verwerking. Dat is als er iets verandert aan het risico van de gegevensverwerking. En de gegevensverwerking vervolgens (na de verandering) een hoog privacyrisico oplevert.

Geen DPIA nodig

Je hoeft niet alsnog een DPIA uit te voeren als een van de volgende 3 situaties van toepassing is:

  1. je gegevensverwerking levert waarschijnlijk géén hoog privacyrisico op;
  2. of je hebt voor deze verwerking al eens een voorafgaand onderzoek door de AP laten uitvoeren en de verwerking is in de tussentijd niet veranderd;
  3. of de risico's van de verwerking zijn niet veranderd.

Wat als een bestaande verwerking verandert?

Verandert er na 25 mei 2018 iets in een bestaande verwerking of in de risico’s van die verwerking? Dan kan een DPIA alsnog verplicht zijn. Een bestaande gegevensverwerking kan bijvoorbeeld veranderen als je een nieuwe technologie gaat gebruiken. Of als je de persoonsgegevens voor een ander doel gaat gebruiken. In die situaties moet je, net als bij een nieuwe gegevensverwerking, vaststellen of de gewijzigde verwerking waarschijnlijk een hoog privacyrisico oplevert. Zo ja, dan ben je alsnog verplicht een DPIA uit te voeren.

Voorafgaand onderzoek

Het kan zijn dat de AP al eens een voorafgaand onderzoek heeft gedaan naar een bepaalde gegevensverwerking. Misschien heb je daarvoor goedkeuring gekregen. Ook dan geldt dat je geen DPIA over die verwerking hoeft uit te voeren. Tenzij er ná 25 mei 2018 een verandering optreedt in de verwerking die waarschijnlijk een hoog risico inhoudt.

Meer vragen en antwoorden over dit onderwerp lees je in het DPIA-dossier van de AP.