Data protection impact assessment (DPIA)

Onder de Algemene verordening gegevensbescherming (AVG) kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.

Een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt.

Dit moet u als verwerkingsverantwoordelijke zelf bepalen. Is er waarschijnlijk een hoog privacyrisico? Dan mag u niet beginnen met het verwerken van gegevens voordat u een DPIA heeft uitgevoerd.

Risico bepalen voor HR

Veel van de risico's zitten aan de kant van de klant van het bedrijf of de overheid. Voor HR zijn de basis persoonsgegevens van medewerkers niet in de categorie voor een verplichte DPIA.

De Autoriteit Persoonsgegevens (AP) heeft een lijst van soorten verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is vóórdat u met verwerken begint. Hierin staat de voor HR / medewerkers relevante passage:

11. Controle werknemers

Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens om activiteiten van werknemers te monitoren. Bijvoorbeeld controle van e-mail en internetgebruik, GPS-systemen in (vracht)auto’s van werknemers of cameratoezicht voor diefstal- en fraudebestrijding.