AVG: Het – indien nodig – uitvoeren van een Data protection impact assessment (DPIA)

 
Een DPIA – gegevensbeschermingseffectbeoordeling – is alleen verplicht als een gegevensverwerking voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt) waarschijnlijk een hoog privacyrisico oplevert.

Dit kan bijvoorbeeld het geval zijn als u met een nieuw HIS gaat werken. Ook voor bestaande gegevensverwerking raadt de Autoriteit Persoonsgegevens aan om periodiek (bijvoorbeeld eens per drie jaar) een DPIA uit te voeren c.q. te laten uitvoeren. Meer hierover vindt u op de website van de Autoriteit Persoonsgegevens. Er is geen format voor een DPIA.