Uitvoeren van een DPIA: hoe doe je dat?

Ga je als onderwijsinstelling met een nieuw ict-systeem werken of op een nieuwe manier werken met persoonsgegevens, zoals de gegevens van medewerkers of studenten? Dan ben je in sommige gevallen verplicht om een Data Protection Impact Assessment (DPIA) uit te (laten) voeren. Deze handreiking bevat handvatten en hulpvragen voor hoe je een DPIA uitvoert.

Een DPIA helpt organisaties om de risico’s van gegevensverwerking- en deling en mogelijke privacy-schendingen voor individuen in kaart te brengen. Zo’n DPIA is alleen verplicht als er een verwerking gaat plaatsvinden die mogelijk een hoog risico met zich meebrengt. Het gaat hier bijvoorbeeld om de toepassing van nieuwe technologieën met mogelijk een hoog risico en uitgebreide verwerking van bijzondere persoonsgegevens als gezondheidsgegevens. Ook bij toepassing van cameratoezicht kan een DPIA nodig zijn. Voor een dergelijke DPIA zijn criteria opgesteld in de Algemene verordening gegevensbescherming (AVG) en aanvullend door de Autoriteit Persoonsgegevens en EU-privacy toezichthouders. 

De handreiking is opgesteld voor het mbo, maar ook andere (onderwijs-)instellingen kunnen deze uiteraard ook gebruiken. Per onderdeel wordt uit het Rijksmodel een aantal aandachtspunten en hulpvragen weergegeven. Daarnaast is op de laatste pagina’s een pre-DPIA checklist en een DPIA-vragenlijst opgenomen die je kunt gebruiken als je een DPIA uit gaat voeren.