Ik moet een DPIA opstellen, wat hoort er minimaal in?
Een DPIA beschrijft de verwerking, beoordeelt de risico's voor betrokkenen en legt de maatregelen vast. AVG artikel 35 geeft de bouwstenen, de AP en EDPB hebben praktische templates online.
support/compliance-en-wetgeving/dpia-template-wat-erinstappen: 5
Probeer dit eerst zelf
- Beschrijf de verwerking concreet: doel, soorten persoonsgegevens, betrokken groepen, bewaartermijnen, ontvangers en doorgiftes buiten de EER.
- Toets noodzaak en proportionaliteit. Kun je hetzelfde doel halen met minder data of minder ingrijpend? Documenteer waarom huidige opzet de juiste is.
- Maak een risico-analyse vanuit de betrokkene, niet vanuit jou. Denk aan onrechtmatige toegang, ongewenst koppelen, profilering of discriminatie.
- Koppel maatregelen aan elk risico: technisch (encryptie, toegangscontrole, logging) en organisatorisch (training, beleid, contractuele afspraken).
- Laat de FG of een privacy-jurist meelezen, beleg goedkeuring bij de directie en zet een herbeoordelingsmoment in de agenda.
Wanneer ons inschakelen
Verwerk je bijzondere gegevens op grote schaal of doe je profilering met juridische gevolgen, dan is meelezen door een specialist verstandig voordat je live gaat.
Zie ook
- Valt mijn bedrijf onder NIS2 of niet?Twee vragen bepalen het: zit je in een aangewezen sector, en haal je de drempel uit Aanbeveling 2003/361/EG (meer dan 50 fte en meer dan 10M omzet of balans). Daaronder val je alleen indirect, via je klanten. De drempel maakt je belangrijke of essentiele entiteit afhankelijk van sector.
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2 en treedt gefaseerd in werking. Controleer NCSC voor de actuele inwerkingtredingsdatum en lagere regelgeving.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.