Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze verordening heeft ervoor gezorgd dat er nog maar een privacywetgeving geldt voor alle EU-landen. De (Nederlandse) Wet bescherming persoonsgegevens (Wbp) is sinds die datum daarmee vervangen door de AVG.

De meeste gemeenten hebben speciaal een privacy officier aangesteld om op de nieuwe privacyregels toe te zien. Ondanks dat hebben gemeenten nog veel documenten en besluiten die zijn opgesteld volgens de Wbp. Een voorbeeld hiervan zijn convenanten voor gegevensdeling met ketenpartners over het aanpakken van woonoverlast. Veel gemeenten zijn zich er nog niet van bewust dat het ook noodzakelijk is om dit soort producten AVG bestendig te maken. Ze lopen daarmee een risico om door de rechter op de vingers getikt te worden als een rechtszaak tegen ze wordt aangespannen.

DPIA
Om bijvoorbeeld een convenant voor gegevensdeling met ketenpartners AVG bestendig te maken, is het nodig dat er een Data Protection Impact Assesment (DPIA) of ‘gegevensbeschermingseffectbeoordeling’ wordt uitgevoerd. Een DPIA is een hulpmiddel om vooraf de privacyrisico’s van een gegevensverwerking op structurele wijze in kaart te brengen. Na zo’n beoordeling kunnen maatregelen genomen worden om de risico’s te verkleinen.

Een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Gegevens mogen dan niet verwerkt worden voordat een DPIA is uitgevoerd. Een DPIA moet uitgevoerd worden als een organisatie:

  • systematisch en uitvoerig persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (denk hierbij aan cameratoezicht).

Uit de praktijk blijkt dat veel organisaties geen ervaring hebben met het uitvoeren van een DPIA of niet de mankracht hebben om deze taak op te pakken. MB-ALL kan u daarbij helpen.

MB-ALL helpt u en uw partners om:

  • een methode uit te kiezen voor de uitvoering van een DPIA, die voldoet aan de basisvereisten van de AVG;
  • een systematische beschrijving te maken van de gegevensverwerking die u gaat doen;
  • de privacyrisico’s te beoordelen;
  • de maatregelen om de risico’s aan te pakken in kaart te brengen;
  • de voorgenomen gegevensverwerking te toetsen op rechtmatigheid.

Een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. U moet dit altijd blijven monitoren, vooral als uw gegevensverwerking verandert door het gebruik van een nieuwe technologie of als u gegevensverwerking voor een ander doel gaat gebruiken. Wij raden u aan om periodiek een DPIA uit te voeren, ook als de gegevensverwerking zelf niet is veranderd.

Bent u geïnteresseerd om ons in te huren voor deze opdrachten? Neem dan vrijblijvend contact op met
Ivo Snijders via ivo@mball.nl of 06-19963006.

Meer lezen?

Hier lees je onze andere artikelen op het gebied van handhaving van veiligheid en leefbaarheid.

Juridische diensten

Voor het uitbesteden van uw handhavingsdossiers, gedegen juridisch advies, inhuur van interim handhavingsjuristen, opstellen van uitvoerbaar handhavingsbeleid, aanpak van adreskwaliteit, verbetering van recreatieterreinen en snippergroenprojecten is MB-ALL uw partner.