In de AVG staat omschreven waar een DPIA minimaal aan moet voldoen. De DPIA moet in ieder geval het volgende bevatten:
- Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan. Beroept de organisatie zich op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving.
- Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen. Dat houdt in: is het verwerken van persoonsgegevens op deze manier noodzakelijk op het doel te bereiken? En is de inbreuk op de privacy van de betrokkenen (de mensen van wie je gegevens verwerkt) niet onevenredig in verhouding tot dit doel?
- Een beoordeling van de privacyrisico’s voor de betrokkenen.
- De beoogde maatregelen om (1) de risico’s aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat je aan de AVG voldoet.
Bron: Autoriteit Persoonsgegevens (bewerkt)
