De AVG is niet geschreven om te voorkomen dat persoonsgegevens verwerkt worden. De AVG legt ieder bedrijf wel de plicht op om dat zorgvuldig te doen. Die verplichting is veelomvattend maar het is toch goed mogelijk om daaraan te voldoen. Om compliant te zijn moet een organisatie een aantal stappen zetten. Die stappen maken onderdeel uit van een groter geheel en zijn op een logische wijze met elkaar verbonden.
Het begint bij een goede analyse van de werkprocessen en eindigt bij de maatregelen die genomen moeten worden om privacy-risico’s zoveel als mogelijk te beperken. Een belangrijk instrument daarbij is de zogenaamde ‘gegevensbeschermingseffectbeoordeling’, ook wel
bekend onder de Engelse afkorting ‘DPIA’.
Een (D)PIA is een onderzoek waarbij de privacy-risico’s van een bepaalde verwerking beoordeeld worden. Het is niet in alle gevallen verplicht maar wel in alle gevallen nuttig. Het dwingt u namelijk om de feitelijke werkprocessen in kaart te brengen en om die werkprocessen – of in ieder geval de belangrijkste daarvan – aan een privacy-analyse te onderwerpen. De uitkomsten van zo’n analyse kunt u gebruiken om de privacy-situatie in uw bedrijf zo goed mogelijk te maken.
De Nederlandse toezichthouder en het Europese samenwerkingsverband hebben verschillende handvaten gegeven voor de correcte uitvoering van (D)PIA’s. Freek heeft uitgebreide ervaring met het uitvoeren van (D)PIA’s, voornamelijk opgedaan bij zijn werk voor verschillende verzekeraars. Als u de feitelijke informatie aanlevert, doet Freek de rest.