Een Data Protection Impact Assessment (DPIA) is een verplichte kwaliteitseis voor projecten, beleid en regelgeving waarbij persoonsgegevens worden verwerkt. Dit instrument is essentieel voor het identificeren van privacyrisico's en het beoordelen van de impact van gegevensverwerking op de rechten en vrijheden van betrokkenen, conform de Algemene Verordening Gegevensbescherming (AVG).
Beschrijving instrument
De DPIA is een instrument voor het beoordelen van de privacyrisico's bij het verwerken van persoonsgegevens binnen de Rijksoverheid. De DPIA helpt bij het identificeren van risico’s voor de betrokken bij beleid, regelgeving en projecten. Het instrument heeft als doel om bescherming van persoonsgegevens vanaf het begin van beleidsontwikkeling, wetgeving of ICT-projecten in te bouwen en deze systematisch mee te wegen in de besluitvorming.
Een DPIA moet aan het begin van beleids- of projectontwikkeling worden uitgevoerd, zodat risico’s op tijd kunnen worden geïdentificeerd en er passende maatregelen kunnen worden getroffen. Wanneer het voorstel of de verwerking van persoonsgegevens in de loop van het project wijzigt, dient de DPIA te worden aangepast. De uitvoering van een DPIA verhoogt de kwaliteit van de uitvoering van beleid of regelgeving en voorkomt onnodige wijzigingen op latere momenten.
De Model DPIA Rijksdienst bevat een uitgebreide aanpak met zeventien evaluatiepunten die specifiek zijn voor de context van de Rijksoverheid. Er is ook een Rapportagemodel DPIA Rijksdienst beschikbaar voor het opstellen van een DPIA-rapportage.
Ontwikkelaar
Kenniscentrum voor beleid en regelgeving (KCBR).
Link naar instrument
Data Protection Impact Assessment (DPIA)
Samenwerking
De DPIA is een belangrijk instrument voor het waarborgen van persoonsgegevens, en dient daarom als belangrijke input voor het programma Gegevensdeling van Werk aan Uitvoering.
