Een risico-analyse, in AVG-termen een DPIA genoemd (Data Protection Impact Assessment, ook wel PIA), is verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Dit moet de verwerkingsverantwoordelijke zelf bepalen.
Meestal is een DPIA verplicht als er persoonsgegevens verwerkt (gaan) worden waarop 2 of meer van onderstaande 9 criteria van toepassing zijn:
- beoordelen van mensen op basis van persoonskenmerken
- geautomatiseerde beslissingen
- stelselmatige en grootschalige monitoring
- gevoelige gegevens
- grootschalige gegevensverwerkingen
- gekoppelde databases
- gegevens over kwetsbare personen (bijvoorbeeld kinderen)
- gebruik van nieuwe technologieën
- blokkering van een recht, dienst of contract
De Autoriteit Persoonsgegevens heeft een aanvullende lijst gepubliceerd met een DPIA verplichting. Deze is hier te vinden.
Een veelvoorkomend voorbeeld waar een DPIA nodig is, is wanneer persoonsgegevens van een lokale server naar een clouddienst worden gemigreerd. Dit gebeurt steeds vaker in het onderwijs. Hierbij gaan bestaande verwerkingen online plaatsvinden in een omgeving buiten de eigen controle. De risico’s die dit met zich meebrengt moeten goed in kaart worden gebracht. Hoe zit het met bijvoorbeeld met het inloggen in de cloud, hoe regel je autorisaties in, wat te doen in het geval van een datalek, hoe heeft de cloudleverancier de beveiliging geregeld?
Andere voorbeelden waarbij een DPIA moet worden uitgevoerd zijn als er camera’s gebruikt gaan worden en als er een overstap naar een ander leerlingvolgsysteem plaatsvindt.
Meer informatie via de Autoriteit Persoonsgegevens inzake DPIA’s en specifiek over leerlingdossiers.
