Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

3.12 DPIA

In deze paragraaf wordt behandeld hoe u een DPIA moet maken.

Voor de AVG zie 

Of dat nodig is kunt u vinden in:

1.17 DPIA (Gegevensbeschermingseffectbeoordeling)

 

De Gegevensbeschermingseffectbeoordeling ofwel de DPIA

ref: AVG art. 35 Gegevensbeschermingseffectbeoordeling

Wilt u privacy-risico’s op een gestructureerde en heldere manier in kaart brengen? Dan kunt u een Data Protection Impact Assessment (DPIA) (laten) uitvoeren. Een DPIA stimuleert u om op tijd na te denken over vragen als:

 1. wat de impact is van het beoogde project op de privacy van de Betrokkenen (de mensen van wie u persoonsgegevens verwerkt)?
 2. wat de risico’s zijn voor de betrokkenen en voor de organisatie?;
 3. of er, gegeven de doelstellingen, ook een aanpak mogelijk is die minder gevolgen heeft voor de privacy.

Er zijn vele modellen van DPIA’s beschikbaar, varierend van eenvoudig tot uitgebreid. Ons inziens is een uitgebreide DPIA meer passend bij de eisen vanuit de ISO 27001 en/of NEN 7510 en bestemd voor software leveranciers. Voor VV die gebruik maken van software applicaties hebben wij een veréénvoudigde  analyse uitgewerkt.

Opzet van de DPIA

In een DPIA zijn er 3 parameters van belang: het risico, de kans dat een lek optreedt, het gevolg, de impact die dat heeft en de aanvaardbaarheid op basis van risico en impact. 

De organisatie moet vooraf zelf de grenzen van deze parameters vaststellen.

De Kans: hoe groot is de kans dat er een lek voorkomt?

 1. zeer onwaarschijnlijk
 2. onwaarschijnlijk
 3. mogelijk
 4. waarschijnlijk
 5. zeer waarschijnlijk

De Impact: wat is de schade als het risisco is opgetreden?

 1. Laag
 2. Middel
 3. Hoog

De Aanvaardbaarheid van het risico kan worden geclassificeerd met de keuzes:

 1. Aanvaardbaar, wat betekent dat er geen stappen noodzakelijk zijn. Er wordt wel duidelijk vastgelegd wat de gronden zijn voor deze keuze,
 2. Onaanvaardbaar, wat betekent dat moet worden bepaald of er maatregelen nodig zijn. 

 

Impact:

Kans:

Laag

Middel

Hoog

Zeer onwaarschijnlijk 

     

Onwaarschijnlijk

      

Mogelijk

     

Waarschijnlijk

     

Zeer waarschijnlijk

     

 

De DPIA-procedure

Voor iedere verwerking/applicatie dient in bovenstaande tabel te worden aangegeven de kans, de impact  en de aanvaardbaarheid.

Bijvoorbeeld, als de Kans op een inbreuk "Waarschijnlijk" is en de Impact "Laag" dan behoeft er geen actie ondernomen te worden. Binnen  B.v. onder Impact "Laag" wordt verstaan dat alleen de namen van minder dan 100 personen "gelekt" zijn.  En dat deze personen leveranciers zijn wiens namen al op div. media (LinkedIn en eigen Website) te vinden zijn. 

Het team die deze inschatting maakt moet  tenminste de volgende leden bevatten:

 1. een ICT security expert,
 2. de VV,
 3. indien mogelijk de V.

Per inschatting wordt vastgelegd:

 1. datum inschatting,
 2. aanwezige teamleden,
 3. aangenomen risico,
 4. aangenomen impact,
 5. de aanvaardbaarheid,
 6. de motivatie van de keuze,
 7. indien "aanvaardbaar": de datum dat volgende DPIA wordt uitgevoerd,
 8. indien "niet aanvaardbaar": beschrijving van de te nemen maatregelen.

Noot:
Het Register van de te onderzoeken verwerking/applicatie moet compleet en beschikbaar zijn.
In veel voorbeelden (zie o.a. Bronvermeldingen hieronder) wordt aangegeven dat in de DPIA's Doelen, Grondslagen, Bewaartermijnen, Categorieën van Betrokkenen etc. moet bevatten. Dit is natuurlijk identiek aan hetgeen in een Register is  vastgelegd. Het is aan te bevelen om te overwegen om in het handboek onder de registers de e.v. aanvullende gegevens m.b.t. DPIA's  op te nemen. 

 

Vorige pagina        Index        Volgende pagina

Attachments:
Download this file (DPIA AVG v2.pdf)Instructie DPIA[Privacy-Friendly | Apr. 2019][ ]2113 kB
Download this file (Handreiking DPIA V 1.0 - aanpak.pdf)Handreiking DPIA [VO/PO Raad | Juli 2018][ ]247 kB
Download this file (model-gegevensbeschermingseffectbeoordeling-rijksdienst-pia.pdf)Model PIA [Min. BZK | Sep. 2017][ ]264 kB
Download this file (PIA versie 12 nov 2015.pdf)PIA[NOREA | Nov. 2015][ ]1021 kB
Download this file (wp248_rev.01_nl.pdf)Richtlijnen DPIA | Zie m.n. bijlage 2 [Werkgroep 29 | April 2017][ ]1103 kB

Afdrukken