Data Protection Impact Assesment (DPIA)

Een DPIA is een manier om in kaart te brengen wat de effecten voor betrokken personen zijn als er nieuwe projecten met persoonsgegevens wordt gewerkt. Op basis van deze analyse worden maatregelen getroffen om de effecten voor betrokkenen te voorkomen of verkleinen.

Een DPIA moet zo vroeg mogelijk in het traject worden uitgevoerd; in elk geval op tijd om de uitkomsten van de DPIA mee te nemen in het verdere verloop van het traject.

• Bepalen impact op de betrokkenen waarvan je gegevens gaat verwerken
• Privacyrisico's identificeren en binnen project adresseren
• Privacybescherming expliciet meenemen in ontwerp (privacy by design en privacy by default) van het systeem of proces

• een beschrijving van de verwerking, de doelen van de verwerking en de legitieme grondslagen daarvoor (template 'kenmerken gegevensverwerking')
• een beoordeling van de noodzaak en de evenredigheid van de verwerking met betrekking tot de doelen (template 'kenmerken gegevensverwerking')
• een beoordeling van de risico's voor de betrokkenen (template 'beoordeling risk assessment'); en
• een beschrijving van de beoogde maatregelen om de risico's te beperken (template 'risk assessment').

De TU Delft, als verwerkersverantwoordelijke, is verantwoordelijk om de DPIA uit te voeren.
In de praktijk wordt de uitvoering belegd (gemandateerd) bij de lijnmanagers van de directies en faculteiten die verantwoordelijk zijn voor hun gegevensverwerkingen. 

• Integreer de uitkomsten een aanbevelingen van de DPIA in het ontwerp van je project;
• Voeg de DPIA documentatie toe aan het AVG register
• Wijzig je de verwerking of veranderen de risico's, check dan of de verwerking nog in overeenstemming is met de DPIA. Zo niet: herijk dan je DPIA;