Moet ik een DPIA uitvoeren?
Een DPIA is verplicht bij verwerkingen met hoog risico voor betrokkenen. De AP heeft een lijst gepubliceerd, dat is de eerste plek om te kijken.
Probeer dit eerst zelf
- 1Check de DPIA-lijst van de Autoriteit Persoonsgegevens. Staat jouw verwerking erop, dan is een DPIA verplicht.
- 2Loop ook de negen criteria uit WP29 langs (evaluatie/scoring, geautomatiseerde beslissing, systematische monitoring, bijzondere gegevens, grote schaal, koppelen van datasets, kwetsbare betrokkenen, innovatieve techniek, blokkerend voor rechten). Twee of meer hits betekent: doe een DPIA.
- 3Gebruik een vast format. Beschrijving, noodzakelijkheid, risico-analyse, maatregelen, restrisico. Templates van de AP en van bijvoorbeeld NOREA zijn bruikbaar.
- 4Betrek de Functionaris Gegevensbescherming als je er een hebt. Hun advies hoort in het document.
- 5Bewaar het document. De DPIA is geen eenmalig stuk, maar een levend dossier dat je bijwerkt bij wijzigingen.
Wanneer ons inschakelen
Bij hoog restrisico ondanks maatregelen, moet je voorafgaand raadplegen bij de AP. Dat is geen formaliteit, daar willen we eerst even bij aanschuiven.
Zie ook
- Valt mijn bedrijf onder NIS2 of niet?Twee vragen bepalen het: zit je in een aangewezen sector, en haal je de drempel uit Aanbeveling 2003/361/EG (meer dan 50 fte en meer dan 10M omzet of balans). Daaronder val je alleen indirect, via je klanten. De drempel maakt je belangrijke of essentiele entiteit afhankelijk van sector.
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2 en treedt gefaseerd in werking. Controleer NCSC voor de actuele inwerkingtredingsdatum en lagere regelgeving.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.