DPIA uitvoeren — gestructureerd en AVG-conform

Een DPIA (Data Protection Impact Assessment) — in het Nederlands ook wel gegevensbeschermingseffectbeoordeling — is een gestructureerde risicoanalyse die je uitvoert voordat je start met een verwerking die een hoog risico voor de privacy van betrokkenen kan opleveren. De verplichting is vastgelegd in Artikel 35 AVG.

Een DPIA is verplicht bij onder andere: grootschalige verwerking van bijzondere persoonsgegevens (gezondheid, biometrie, religie), stelselmatige en grootschalige monitoring van personen op openbaar toegankelijke plaatsen, en profilering met aanzienlijke effecten voor betrokkenen. De Autoriteit Persoonsgegevens heeft een lijst gepubliceerd van verwerkingen waarvoor een DPIA altijd verplicht is.

In de praktijk wordt de DPIA vaak niet uitgevoerd — of gedaan in een Word-document dat na oplevering in een map verdwijnt en nooit wordt bijgewerkt. Dat is risicovol: als een toezichthouder naar de DPIA vraagt bij een controle of na een datalek, moet je kunnen aantonen dat de analyse is uitgevoerd, wat de conclusie was, en welke maatregelen je hebt genomen.

Stap-voor-stap door Artikel 35
De module stelt de vragen die de AVG vereist: beschrijving van de verwerking, de noodzakelijkheids- en proportionaliteitstoets, de privacyrisico's, de maatregelen om die risico's te beheersen. Je hoeft de wetgeving niet te kennen — de tool begeleidt je.

Risicoregistratie per verwerking
Beoordeel privacyrisico's op kans en impact. Leg per risico vast welke maatregel je neemt en wie daarvoor verantwoordelijk is. De module houdt bij wanneer de DPIA is uitgevoerd en wanneer een herziening nodig is.

Exporteerbaar rapport
Genereer een DPIA-rapport dat je direct kunt voorleggen aan je DPO, directie of de Autoriteit Persoonsgegevens. Voorzien van timestamps en eigenaarschap, zodat je kunt aantonen dat de analyse serieus is uitgevoerd.