De Algemene Verordening Gegevensbescherming (AVG) is een feit. Je hoort erover, je leest erover, en nu moet je er wat mee als ondernemer.
▶Inhoudsopgave
Vooral het idee van een DPIA – een Data Protection Impact Assessment – klinkt zwaar en ingewikkeld. Alsof je direct een dure advocaat in de arm moet nemen.
Maar dat is niet altijd nodig. Een DPIA is eigenlijk gewoon een gestructureerde nadenk-oefening over hoe je met klantgegevens omgaat. In dit artikel lees je hoe je dat als klein bedrijf slim aanpakt, zonder dat het je een fortuin kost of slapeloze nachten bezorgt.
Wanneer ben je verplicht een DPIA uit te voeren?
Laten we beginnen met de vraag die waarschijnlijk het meest speelt: moet ik dit überhaupt doen? Je hoeft niet voor elke klant die een contactformulier invult direct een DPIA te starten.
De Autoriteit Persoonsgegevens (AP) stelt dat een DPIA verplicht is wanneer een verwerking van persoonsgegevens waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van mensen. Om te bepalen of dit bij jouw bedrijf het geval is, kijk je naar een aantal criteria. De AP heeft hiervoor een handige lijst gepubliceerd.
- nieuwe technologieën inzet, zoals AI voor klantenservice of een complex CRM-systeem;
- persoonsgegevens op grote schaal verwerkt (denk aan duizenden klanten);
- systematisch profielen van mensen maakt, bijvoorbeeld voor marketingdoeleinden;
- bijzondere persoonsgegevens verwerkt, zoals gezondheidsdata of financiële informatie;
- cameratoezicht inzet in een publiek toegankelijke ruimte.
In de praktijk betekent dit dat je vaak een DPIA moet doen als je:
Als je bedrijf hieronder valt, is het tijd voor actie. Maar geen paniek: het is een gestructureerd proces dat je prima zelf kunt doen.
De 9 criteria van de EDPB: jouw checklist
De European Data Protection Board (EDPB) heeft negen criteria opgesteld om te bepalen of een DPIA nodig is. Deze criteria helpen je om de risico’s in kaart te brengen. Je kunt ze zien als een checklist. Ze zijn:
- De aard en omvang van de verwerking: Hoeveel gegevens verwerk je en welke soorten zijn het?
- Het doel van de verwerking: Waarom verzamel je deze gegevens?
- De noodzaak van de verwerking: Is het echt nodig om deze gegevens te verwerken om je doel te bereiken?
- De categorieën van betrokkenen: Wiens gegevens verwerk je? (bijv. klanten, medewerkers, sollicitanten)
- De rechten van de betrokkenen: Kunnen mensen hun rechten uitoefenen, zoals inzage of verwijdering?
- De middelen die worden gebruikt: Welke technologieën en systemen zet je in?
- De beveiligingsmaatregelen: Hoe beveilig je de gegevens tegen verlies of diefstal?
- De overdracht van gegevens naar derde landen: Gaan je data buiten de EU?
- De impact op de rechten en vrijheden: Welke impact heeft je verwerking op de privacy van mensen?
Stap-voor-stap: je eigen DPIA uitvoeren
Zonder advocaat aan de slag? Volg dan deze stappen.
Stap 1: Beschrijf de verwerking
Het is een logisch proces dat je stap voor stap doorloopt. Begin met een duidelijke omschrijving van het proces.
Stap 2: Beoordeel de risico’s
Welke gegevens verwerk je? Voor welk doel? Wie heeft er toegang toe? Maak het concreet. Bijvoorbeeld: “We verwerken naam, e-mailadres en bestelgeschiedenis van klanten om bestellingen te leveren en persoonlijke aanbiedingen te doen.”
Stap 3: Evalueer de risico’s
Gebruik de negen criteria van de EDPB om te bepalen welke risico’s er spelen. Welke gegevens zijn gevoelig?
Stap 4: Bedenk maatregelen
Wat gebeurt er als ze op straat komen te liggen? Denk aan risico’s zoals identiteitsfraude, discriminatie of ongewenste publiciteit. Beoordeel de waarschijnlijkheid en impact van elk risico. Een risico dat waarschijnlijk is en een grote impact heeft, verdient extra aandacht.
Gebruik een eenvoudige schaal van laag, middel en hoog. Dit helpt je om prioriteiten te stellen.
Stap 5: Documenteer alles
Nu komt het belangrijkste deel: hoe verminder je de risico’s? Denk aan technische maatregelen zoals encryptie of toegangscontrole, en organisatorische maatregelen zoals een privacytraining voor medewerkers. Zorg dat je maatregelen aansluiten bij de geïdentificeerde risico’s.
Leg alle stappen vast in een document. Dit is niet alleen om te voldoen aan de AVG, maar ook om later te kunnen aantonen dat je serieus werk hebt gemaakt van privacy. Houd het simpel: een overzichtelijke map met een beschrijving, risico’s en maatregelen volstaat.
Moet je een Functionaris voor de Gegevensbescherming (FG) aanwijzen?
Voor kleine bedrijven is het aanwijzen van een FG meestal niet verplicht.
Dit is alleen nodig als je op grote schaal persoonsgegevens verwerkt of als je bijzondere gegevens verwerkt, zoals medische data. Twijfel je? Neem dan contact op met de Autoriteit Persoonsgegevens voor advies. In de meeste gevallen volstaat het om zelf verantwoordelijkheid te nemen.
Regelmatig herzien: een DPIA is nooit af
Een DPIA is geen eenmalige klus. Het is een levend document.
Zodra je processen verandert, nieuwe technologie invoert of klachten binnenkrijgt, moet je de DPIA herzien en bepalen of deze nog nodig is. De AP adviseert om dit minstens jaarlijks te doen of wanneer er significante veranderingen zijn. Zo blijft je privacybeleid actueel en effectief.
Conclusie: begin vandaag nog
Een DPIA uitvoeren zonder advocaat is prima te doen. Het is geen rocket science, maar wel een verplicht onderdeel van je privacybeleid.
Door de stappen te volgen en je te baseren op de criteria van de EDPB, kom je een heel eind. Het helpt je niet alleen om te voldoen aan de AVG, maar ook om het vertrouwen van je klanten te winnen. Dus pak pen en papier, en ga aan de slag. Je privacy en die van je klanten zijn het waard.
Veelgestelde vragen
Wat zijn de regels voor het uitvoeren van een DPIA?
De Autoriteit Persoonsgegevens vereist een DPIA wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van mensen. Om te bepalen of dit het geval is, kijk je naar criteria zoals het gebruik van nieuwe technologieën, het verwerken van grote hoeveelheden data of het verzamelen van bijzondere persoonsgegevens. Het is dus een gestructureerde beoordeling van de risico's.
Wie voert een DPIA uit?
Als je bedrijf nieuwe technologieën inzet, zoals AI voor klantenservice, of een complex CRM-systeem, of systematisch profielen maakt van klanten, dan is het belangrijk om zelf te bepalen of een DPIA nodig is. Het is een proces dat je als klein bedrijf zelf kunt aanpakken, zonder dat het direct een dure advocaat vereist.
Is een DPIA wettelijk verplicht?
Een DPIA is wettelijk verplicht wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog privacyrisico oplevert, zoals bepaald door de Europese Data Protection Board (EDPB). Het is een verplichting die voortvloeit uit de AVG-wetgeving, maar je hoeft niet voor elke klant die een contactformulier invult direct een DPIA te starten.
Is het verplicht om een DPIA openbaar te maken?
Nee, het is niet verplicht om een DPIA-rapport openbaar te maken. Echter, je bent wel verplicht om betrokkenen te informeren over de verwerking van hun gegevens, zoals beschreven in de AVG. Dit betekent dat je duidelijk moet uitleggen hoe je de gegevens gebruikt en welke rechten ze hebben.
Wie voert een DPIA uit?
Een DPIA wordt uitgevoerd door de verantwoordelijke verwerker van de persoonsgegevens, in de meeste gevallen de eigenaar of bestuurder van het bedrijf. Het is een interne beoordeling die je zelf kunt uitvoeren, zonder dat je direct een dure advocaat in de arm hoeft te nemen. Het is een gestructureerd proces dat je slim kunt aanpakken.