Hoe voer je een Data Privacy Impact Assessment (DPIA) uit?

Ga je als zorgprofessional werken met (persoons)gegevens? Dan is een DPIA waarschijnlijk verplicht. Het verwerken van deze (persoons)gegevens brengt immers privacyrisico’s voor de betrokkenen in kwestie met zich mee. Het doorlopen van een DPIA is een ingewikkeld proces. De AVG-Helpdesk biedt daarom een handig stappenplan aan. Dit stappenplan helpt je bij de uitvoering van een DPIA.

Een DPIA heeft als doel om privacyrisico’s in kaart te brengen. Met dit instrument bepaal en beoordeel je welke effecten het verwerken van de persoonsgegevens heeft op de privacy van de betrokkenen (patiënten, cliënten, medewerkers, vrijwilliger etc.). Zo kunnen vooraf maatregelen genomen worden om de privacyrisico’s te verkleinen.

Wanneer voer je een DPIA uit?

Een DPIA moet altijd worden uitgevoerd bij:

  • De ontwikkeling van beleid en regelgeving waarbij de verwerking van persoonsgegevens een rol spelen of waaruit verwerkingen van persoonsgegevens voortvloeien.
  • Voorgenomen verwerkingen van persoonsgegevens die waarschijnlijk een hoog privacyrisico voor de betrokkenen met zich meebrengt.

Een individuele zorgverlener, dus een natuurlijke persoon die beroepsmatig zorg verleent, is niet verplicht om een DPIA uit te voeren. Wanneer een DPIA precies noodzakelijk is, lees je op onze pagina: DPIA - Wanneer nodig?

Gaat u een DPIA opstellen? Volg dan onderstaand stappenplan. Dit stappenplan beschrijft stap voor stap het hele proces en geeft daar waar nodig extra uitleg.

Beeld: ©VWS/AVG-Helpdeskzorg

Na afronding van de DPIA

Na afronding van DPIA leg je deze voor aan de Functionaris Gegevensbescherming (FG), indien je organisatie hierover beschikt. Gaat de DPIA over een ICT-systeem en heeft je organisatie een Chief Information Officer (CIO)? Dan moet deze ook worden afgestemd met de CIO.