Skip to main content

Data Protection Impact Assessment (DPIA)

Privacy onderzoeken in het kader van de Algemene Verordening Gegevensbescherming (AVG)

Met de introductie van de AVG in 2017 zijn privacy onderzoeken verplicht gesteld. Deze hebben een basisvorm, maar worden onder verschillende namen uitgevoerd. In de Nederlandstalige versie van de AVG heet het onderzoek een Gegevensbeschermingseffectbeoordeling (GEB), terwijl ook de namen Privacy Impact Assessment (PIA) en Data Protection Impact Assessment wordt (DPIA) gebruikt.

Werkprogramma

Er zijn in Nederland verschillende versies van het werkprogramma beschikbaar, namelijk het ‘Model gegevensbeschermingseffectbeoordeling rijksdienst (PIA)’ van het Ministerie van BZK, de ‘NOREA Handreiking Privacy Control Framework’ en de ‘NOREA PIA’.
Noordbeek heeft een eigen werkprogramma en rapportagemethode ontwikkeld, primair gebaseerd op het model van Ministerie van BZK, en waar nodig aangevuld met aandachtspunten vanuit NOREA.


Competentie en ervaring

Noordbeek heeft vele DPIA’s uitgevoerd binnen de (semi)overheid en private organisaties. Dit gebeurt altijd op een pragmatische wijze, waarbij ook concrete adviezen worden gegeven bij eventuele gesignaleerde risico’s. Wij zetten op dit gebied ervaren IT-auditors in, aangevuld met juridische competenties.

ISO 27701 certificering

Onze dienstverlening voor certificering tegen de ISO/IEC 27701:2019 ‘Security techniques – Extension to ISO/IEC 27001 and 27002 for privacy information management – Requirements and guidelines’ is ondergebracht bij Noordbeek Certification.

Data Protection Impact Assessment (DPIA)

Bij een volledige DPIA wordt getoetst of de verwerking van persoonsgegevens voldoet aan de eisen uit de AVG. De scope en het object van onderzoek wordt in overleg met de organisatie bepaald. De analyse kan worden uitgevoerd op de gehele organisatie, een bedrijfsproces, een applicatie of een project. Er wordt onder andere gekeken naar de rechtsgrond voor een verwerking, meldingsplicht, inzagerecht, dataminimalisatie, verwijdertermijnen en afspraken met eventuele bewerkers. Het resultaat van een DPIA is een rapportage van bevindingen in hoeverre de organisatie voldoet aan de vooraf gestelde eisen.

Privacy scan

Een privacy scan heeft een minder formeel karakter. Wanneer een organisatie nog geen duidelijk beeld heeft op welke gebieden er privacyrisico’s zijn en hulp nodig heeft bij de beveiliging van deze gegevens kunt u besluiten een privacy scan te laten uitvoeren. Hiervoor wordt voor de gehele organisatie nagegaan waar persoonsgegevens worden opgeslagen, verwerkt en gedistribueerd, en of aan de wettelijke eisen wordt voldaan. Per verzameling persoonsgegevens wordt inzichtelijk gemaakt wat de risico’s zijn van diefstal, verlies of misbruik en wat de mogelijke impact is voor de organisatie. Tevens wordt onderzocht in hoeverre de risico’s door maatregelen worden gemitigeerd en of sprake is van restrisico’s. Indien dit het geval is, wordt een voorstel gedaan voor mitigerende maatregelen.


Contact

Noordbeek B.V.
Rijndijk 235
2394 CD Hazerswoude
KvK 33265070

Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.


© Noordbeek B.V. All rights reserved.