Het Information Commissioner's Office heeft het gedeelte in de AVG over gegevensbeschermingsimpactbeoordelingen (DPIA's) bijgewerkt, waarbij de nadruk ligt op risico's, aansprakelijkheid en gegevensbescherming door ontwerp. Artikel 35, lid 4, staat ook ter openbare raadpleging tot 13 april.
Data Protection Impact Assessments of DPIA’s, die in sommige gevallen verplicht zullen zijn om in te vullen, zijn een nieuwe verplichting voor gegevensverwerkers op grond van de Algemene Verordening Gegevensbescherming.
Bij het verwerken van gegevens die 'waarschijnlijk een hoog risico voor de belangen van individuen met zich meebrengen' zal een DPIA moeten worden uitgevoerd om het risiconiveau te bepalen. Als het niveau hoog is, verzoekt de Information Commissioner's Office u rechtstreeks contact met hen op te nemen.
Als u al Privacy Impact Assessments (PIA's) uitvoert, moet u het proces vóór 25 mei 2018 beoordelen om er zeker van te zijn dat het voldoet aan de AVG-updates. Elke organisatie die nog geen Privacy Impact Assessments uitvoert, moet de tijd nemen om DPIA’s te ontwerpen en deze in hun processen op te nemen.
Deze beoordeling, tot stand gebracht door de GDPR, is een proces dat tot doel heeft u te helpen bij het identificeren en minimaliseren (maar niet noodzakelijkerwijs uitsluiten) van risico's voor de bescherming van gegevens die u en uw organisatie verwerken.
De ICO zegt dat uw Data Protection Impact Assessment:
Het belangrijkste doel van de beoordeling is het beschermen van gegevens met een hoog risico, maar het helpt u ook om uw inzet voor informatiebeveiliging aan te tonen en om vertrouwen bij individuen op te bouwen. Het nalevingsrisico is van groot belang, maar een breder risico voor de rechten en vrijheden (waaronder sociale of economische nadelen) moet ook in aanmerking worden genomen in de gegevensbeschermingseffectbeoordeling. Dit omvat ook het 'potentieel voor schade – fysiek, materieel of niet-materieel – voor individuen of voor de samenleving als geheel.'
Zoals we eerder hebben aangegeven, moet de DPIA vóór u worden uitgevoerd gegevens verwerken die een hoog risico met zich mee kunnen brengen. Dit is om de omvang van het risico in te schatten en identificeren van factoren die van invloed kunnen zijn op individuen. De AVG zegt dat u een DPIA moet uitvoeren als u:
De ICO heeft een gids op hoog niveau gepubliceerd over de planning van uw DPIA, hier weergegeven in de afbeelding, maar u kunt het proces afstemmen op uw organisatie. Vergeet niet dat dit een van de kernprocessen van uw organisatie moet worden, dus het moet voor u werken. Ook zijn er Europese richtlijnen voor het plannen van DPIA’s die u wellicht wilt volgen.
Het Information Commissioner's Office heeft hun ontwerprichtlijnen voor gegevensbeschermingseffectbeoordelingen opengesteld voor openbare raadpleging. Lees de details en laat uw mening horen de ICO-website.