DPO expert

Waarom zou mijn onderneming een DPIA uitvoeren? 

Sinds de opkomst van de privacywetgeving is het steeds belangrijker voor de ondernemingen om GDPR-conform te opereren. Een DPIA uitvoeren kan daarbij bijzonder handig zijn. In sommige gevallen is een DPIA zelfs verplicht. Mr. Franklin legt uit hoe je een Data Protection Impact Assessment moet voorbereiden en wat het voor jouw onderneming kan betekenen.

Algemene Verordening Gegevensbescherming (GDPR)

 

De Algemene Verordening Gegevensbescherming is sinds 2018 van toepassing op alle entiteiten en ondernemingen die persoonsgegevens verwerken. De voornaamste doeleinden hiervan is het beschermen van de natuurlijke personen tegen de privacyrisico’s van een gegevensverwerking.

Door de ruime opvatting van het concept “gegevensverwerking” is de kans zeer reëel dat jouw onderneming ook aan verwerking van persoonsgegevens doet. Dit heeft tot gevolg dat ook jouw bedrijf aan de GDPR-normen moet voldoen. Een correct uitgevoerd Data Protection Impact Assessment verleent meer inzicht in de eventuele privacyrisico’s zodat je doeltreffende maatregelen kan nemen om je onderneming GDPR-conform uit te baten.

Wat is een Data Protection Impact Assessment? 

 

DPIA staat voor Data Protection Impact Assessment. DPIA wordt soms ook gegevensbeschermingseffectbeoordeling genoemd.

In een Data Protection Impact Assessment worden de privacy- en informatieveiligheidsrisico's van een applicatie, een online platform of een specifieke verwerkingsactiviteit in kaart gebracht. Op basis van de verkregen informatie kunnen daarna maatregelen worden genomen om deze risico’s te verkleinen.

Meer gedetailleerde informatie kan je vinden in ons artikel over DPIA.

Is DPIA verplicht?

 

Strikt gezien is een DPIA verplicht bij iedere nieuwe verwerking die mogelijks privacy implicaties kan veroorzaken. De Gegevensbeschermingsautoriteit (de Belgische Autoriteit Persoonsgegevens) heeft een lijst van activiteiten opgesteld voor de uitvoering waarvan een DPIA verplicht is. Een onderneming die een of meerdere activiteiten uit deze lijst onderneemt moet een DPIA uitvoeren alvorens over te gaan tot gegevensverwerking.

Een DPIA uitvoeren is dus niet in alle gevallen verplicht. Wel kan het voor vele ondernemingen, en zeker ondernemingen die risicovolle verwerkingen willen starten zeer nuttig zijn. Denk hierbij aan verwerkingen die betrekking hebben op bijzondere persoonsgegevens zoals medische gegevens. Ofwel indien uw onderneming nieuwe technologieën of software gaat ontwikkelen die persoonsgegevens verwerken, zoals een online webplatform.

Bij de uitvoering van een DPIA op een online platform door Mr. Franklin, wordt het platform door onze experts getest aan de GDPR-normen, de veiligheidsmaatregelen, privacy by design en privacy by default. Zo wordt er nagegaan of het online platform van jouw onderneming op een correcte manier omgaat met persoonsgegevens, wie de gegevensverwerkers zijn, waar en hoe de verwerkte data bewaard wordt, enzovoort. Op het einde van de DPIA-procedure krijgt de onderneming van ons een document met daarin het verslag van onze bevindingen. Dit document kan door de onderneming verder ter beschikking worden gesteld aan haar klanten om aan te tonen dat het online platform GDPR-conform aangeboden wordt. Zo wordt er meer vertrouwen gecreëerd tussen de onderneming en haar cliënteel. Bovendien krijgt men na een DPIA-procedure een zicht op technische en organisatorische maatregelen die de GDPR-conforme werking van de online tool kunnen bevorderen.

Verder is het uitvoeren van een DPIA de eerste stap in de richting van een ISO certificering. Niet alle ondernemingen zijn namelijk geschikt om een ISO-certificaat aan te vragen: het kan zowel financieel als administratief te bezwarend zijn, in het bijzonder voor start-ups. Een DPIA-verslag opgesteld door de experts van Mr. Franklin kan een geschikte substituut zijn voor bedrijven die in de groeifase zitten of niet de middelen voor het behalen van een ISO 27001-certificaat op overschot hebben.

Door wie wordt DPIA uitgevoerd? 

 

Een Data Protection Impact Assessment kan worden uitgevoerd door de gegevensverwerkingverantwoordelijke (controller). Dit is de persoon binnen jouw onderneming die beslissingen neemt over het lot van de persoonsgegevens (al dan niet verwerken, waarom verwerken etc). Deze verwerkingsverantwoordelijke kan een DPIA procedure ook door externen laten uitvoeren. In dit geval blijft hij wel nog steeds de eindverantwoordelijke. 

 

Indien het nodig en mogelijk is, moet ook het advies van de betrokkenen (de natuurlijke personen wiens gegevens verwerkt worden) gevraagd worden. Dit kan bijvoorbeeld aan de hand van een DPIA vragenlijst of een onderzoek.

 

De entiteiten die verplicht een functionaris gegevensbescherming moeten aanwijzen, dienen deze dan ook te raadplegen bij het uitvoeren van een DPIA.

Wie is Mr. Franklin? 

 

Mr. Franklin is een advocatenkantoor gespecialiseerd in intellectuele eigendomsrechten, GDPR en ISO 27001 implementatie. Mr. Franklin biedt een DPIA-audit van risicovolle verwerkingen en van online platform aan, zowel op privacy als cybersecurity vlak. Daarbij zorgen we voor concrete aanbevelingen rond gegevensbescherming en een risico-analyse overeenkomstig ISO 27001 vereisten. Er wordt tevens een commercieel document opgemaakt dat kan voorgelegd worden aan klanten.

Bovendien biedt Mr. Franklin ook all-in-one GDPR formules aan om jouw onderneming op alle vlakken GDPR-proof te maken. Aan de hand van een privacy-audit stellen we het privacybeleid op. Daarna wordt de verwerking van persoonlijke gegevens in jouw organisatie in kaart gebracht, evenals de genomen infrastructuur- en veiligheidsmaatregelen. Tevens worden de nodige documenten opgemaakt.

We voorzien ook in GDPR-opleidingen voor bedrijven. De aanpak gebeurt steeds in overleg en blijft pragmatisch, met veel aandacht voor de verzuchtingen en noden van jouw onderneming.

Prijs voor een all-in-one pakketten starten vanaf 2.000,00 € + BTW.

Bescherm je bedrijf tegen GDPR-boetes en doe een gratis GDPR-audit bij Mr.Franklin.

logowitgr.png

GDPR-proof in max 3 maanden

Gegevensbeschermingsautoriteit

 

In bepaalde situaties ben je als onderneming verplicht om de Gegevensbeschermingsautoriteit te consulteren vooraleer er tot verwerking van persoonsgegevens wordt overgegaan. Dit is namelijk het geval wanneer uit de resultaten van de Data Protection Impact Assessment blijkt dat de voorgenomen verwerking een hoog privacyrisico oplevert ondanks de genomen maatregelen. 

 

Ben je van mening dat de beoogde maatregelen dit risico zullen reduceren, dan is het aangeraden om op papier te zetten dat jouw onderneming passende maatregelen heeft genomen. Zo kan je in de eventuele discussies met de Gegevensbeschermingsautoriteit alsnog aantonen dat de privacyrisico’s werden aangepakt.

Laat een DPIA uitvoeren door de experts van Mr. Franklin

 

De DPO’s met certificering van Mr. Franklin kunnen de privacyrisico’s binnen jouw onderneming nagaan en beoordelen of een DPIA aangewezen is. Wij bieden de nodige website- en applicatie-testen aan. Zo sta je niet voor verrassingen en heb je een helder zicht op de verwerkingen van de persoonsgegevens binnen jouw onderneming. Neem gerust contact met ons op voor meer gedetailleerde uitleg over de Data Protection Impact Assessment binnen jouw bedrijf.

CONTACTEER ONS

Voor meer informatie omtrent onze diensten kan u ons steeds vrijblijvend contacteren.

 

 

Olivier Sustronck

+32 486 27 53 05

olivier@misterfranklin.be

MrFranklin.jpg
logo.png