Alliade

Data Protection Impact Assessment (Risicobeoordeling)

Wat is een DPIA?

DPIA staat voor Data Protection Impact Assesment en is een risicobeoordeling die verplicht gedaan moet worden op processen waarbij sprake is van een verhoogd privacyrisico. 

In deze risicobeoordeling worden onder andere de volgende onderwerpen vastgelegd: 

  • Een omschrijving van het proces; 
  • Welk soort en hoeveel persoonlijke gegevens betrokken zijn bij dit proces; 
  • Wat er gebeurt met deze persoonlijke gegevens; 
  • Hoe deze persoonlijke gegevens gebruikt worden; 
  • Wat de privacyrisico's zijn bij dit proces; 
  • Welke maatregelen er getroffen zijn om eventuele risico's tegen te gaan. 

Wanneer moet een DPIA (risicobeoordeling) uitgevoerd worden?

Alliade moet een DPIA (DPIA) uitvoeren wanneer de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Dit wordt bepaalt via de daarvoor bestemde DPIA checklist op i-Kaaa. Wanneer hier uitkomt dat er een DPIA uitgevoerd dient te worden dan wordt deze uitgevoerd aan de hand van de DPIA template op i-Kaaa. 

Bij Alliade zijn er veel processen waar een DPIA op uitgevoerd moet worden doordat we veel gezondheidsgegevens verwerken, dit brengt verhoogde privacy risico's met zich mee. 

Nieuwe processen / projecten

Bij nieuwe processen en/of projecten waarbij er met persoonsgegevens wordt gewerkt dient in de opstartfase of vooraf de opstartfase gecontroleerd te worden of er een DPIA uitgevoerd dient te worden. Wanneer deze uitgevoerd moet worden dient dit direct te gebeuren voordat het proces / project volledig in werking treedt. 

Bestaande processen / projecten 

Op bestaande processen en projecten waar nog geen DPIA voor is uitgevoerd en waarbij dit wel zou moeten dient per direct een DPIA uitgevoerd te worden. Wanneer er al wel een DPIA is uitgevoerd dient de proces/project-eigenaar te bewaken dat deze eens in de 3 jaar herzien wordt en/of herzien wordt bij grote veranderingen in het proces / project.  

Wie moet een DPIA uitvoeren?

Alliade is als organisatie zelf verantwoordelijk voor het uitvoeren van een DPIA. Omdat in een DPIA veel details rondom een proces vastgelegd moeten worden zijn de proceseigenaren binnen Alliade verantwoordelijk voor het (checken van de verplichting van het) uitvoeren van een DPIA op het proces. 

Bij afronding van de DPIA dient deze te worden belegd voor advies bij de Data Protection Officer. De Data Protection Officer toetst de DPIA en brengt advies uit over het constateren van wel/geen restrisico's. De proceseigenaar bepaalt of dit advies aanvaard wordt. Let op: er mogen slechts zwaarwegende belangen zijn om van dit advies af te wijken. 

 

Alliade