Er zijn verschillende methodes om een DPIA uit te voeren. Je kunt zelf kiezen welke methode het beste past, zolang voldaan wordt aan de vereisten van de AVG. Dit hoeft niet moeilijk te zijn, maar moet evengoed worden uitgevoerd en vastgelegd.
De basisvereisten zijn in artikel 35 van de AVG beschreven:
- Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan. Beroept u zich op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving.
- Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen. Dat houdt in: is het verwerken van persoonsgegevens op deze manier noodzakelijk op uw doel te bereiken? En is de inbreuk op de privacy van de betrokkenen (de mensen van wie u gegevens verwerkt) niet onevenredig in verhouding tot dit doel?
- Een beoordeling van de privacy risico’s voor de betrokkenen.
- De beoogde maatregelen om (1) de risico’s aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat u aan de AVG voldoet.
Voor meer achtergrondinformatie klik hier.
Voor het onderwijs heeft Kennisnet een model en handreiking opgesteld, welke gebruikt kan worden om een DPIA uit te voeren. Ook is er van Norea een handreiking te vinden.
