Tag: DPIA

Privacy by design: hoe breng je het in praktijk?

privacy awarenessAuteur: Bart de Goeij

Veel organisaties kunnen wel onder woorden brengen hoe verwerkingen ‘privacy by design’ moeten worden ingericht. Tegelijkertijd vinden organisaties het in praktijk lastig om te komen tot een vaste werkwijze die gevolgd moet worden, niet in de laatste plaats omdat organisaties ‘from scratch’ een aanpak voor het werken volgens privacy by design proberen op te tuigen.

Het is belangrijk om je te realiseren dat privacy by design een algemeen beginsel is en geen technisch vereiste. De essentie is dat medewerkers die aan de slag gaan met persoonsgegevens op tijd nadenken over persoonsgegevensbescherming, oftewel vóórdat zij keuzes maken ten aanzien van de vormgeving van de verwerking. Om dit te realiseren reikt de AVG al verschillende concrete instrumenten aan die helpen om de essentie van privacy by design een plek te geven in het voortbrengingsproces en/of de beleidsontwikkeling. Het eerste is de DPIA (art 35 AVG; Nederlandse afkorting: GEB). Het tweede is de verplichte registratie van verwerkingen in het verwerkingsregister (art 30 AVG). Als organisaties hier slim mee omgaan, is de basis voor het voldoen aan privacy by design gelegd. Lees verder

Betrek jij ook betrokkenen tijdens een DPIA?

Auteur: Sander Roobol

Veel organisaties zijn er inmiddels mee bekend: het uitvoeren van een data protection impact assessment (DPIA). De minimale vereisten zijn summier in de wet uitgewerkt. Optioneel is het een vereiste om betrokkenen naar hun visie op de voorgenomen verwerking van persoonsgegevens te vragen. In de praktijk wordt deze optie vaak overgeslagen terwijl het een toegevoegde waarde heeft voor een organisatie en haar DPIA. In deze blog ga ik in op het betrekken van betrokkenen bij een DPIA. Is dit vereiste wel zo optioneel? En wat is de toegevoegde waarde?

Doel DPIA

Als een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor betrokkenen, dan is een organisatie in veel gevallen verplicht voorafgaand aan de gegevensverwerking een DPIA uit te voeren. In artikel 35 lid 7 AVG staan vier voorwaarden genoemd waaraan een DPIA in elk geval moet voldoen. Dit zijn – beknopt beschreven – een systematische beschrijving van de verwerking en haar doeleinde, een beoordeling van de noodzaak en evenredigheid, beoordeling van de risico’s en de beoogde maatregelen om de risico’s te mitigeren. Een DPIA is dus bedoeld om de risico’s in kaart te brengen en passende maatregelen te nemen. Lees verder

De AVG in Beeld: biometrische gegevens

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog gaan we in op biometrische gegevens. Een nieuwkomer onder de AVG, in de categorie bijzondere persoonsgegevens. Wat moet u daar over weten?

Kon u het rijtje met bijzondere persoonsgegevens al opdreunen onder de huidige privacywetgeving?

biometrische gegevens
Dan weet u vast ook al dat er twee nieuwe soorten persoonsgegevens bij zijn gekomen onder de AVG. Naast genetische gegevens vinden we ook de zinsnede “biometrische gegevens met het oog op de unieke identificatie van een persoon” in artikel 9 lid 1 AVG. De kwalificatie van een bijzonder persoonsgegeven betekent dat een verbod op verwerking geldt voor deze gegevens. Natuurlijk mogen ze onder omstandigheden wel gebruikt worden, maar dan moet wel aan specifieke voorwaarden voldaan zijn. Daar gaan we in deze blog op in.

Lees verder