Welkom bij de volledige DPIA

Deze wizard volgt de structuur van het Rijksmodel DPIA (Rijksoverheid) en bestaat uit drie blokken:

A. Beschrijving van de gegevensverwerking — voorstel, gegevens, technologie, partijen, bewaartermijnen.
B. Beoordeling van de rechtmatigheid — grondslag, doelbinding, bijzondere gegevens, geautomatiseerde besluitvorming, rechten van betrokkenen.
C. Beoordeling van risico's en maatregelen — risicoanalyse op basis van ISO/IEC 27005, maatregelen, restrisico, vaststelling.

Let op: dit is een hulpmiddel en geen juridisch advies. Stem de uitkomst altijd af met je Functionaris Gegevensbescherming (FG). Je antwoorden worden lokaal in deze browser bewaard tot je expliciet de PDF downloadt.

Algemene gegevens

Identificatie van deze DPIA. Komt op de cover en in het dossier.

Organisatie *

Verantwoordelijke / opsteller *

Functie

E-mail (optioneel)

Naam van de verwerking *

Versie / datum

A.1 Voorstel, aanleiding en doel

Beschrijf in eigen woorden wat je gaat doen, waarom, en wat je ermee wilt bereiken.

Aanleiding voor de verwerking *

Verwerkingsdoel(en) *

Beoogd resultaat

A.2 Persoonsgegevens en betrokkenen

Welke gegevens, van wie, en in welke omvang.

Categorieën persoonsgegevens *

Categorieën betrokkenen *

Omvang en bron van de gegevens

A.3 Verwerking en technologie

Hoe verloopt het proces technisch en organisatorisch?

Procesoverzicht / verwerkingsstappen *

Systemen, applicaties en koppelingen

Verwerkingslocaties

Privacy-by-design & PET Privacy-by-design is toegepast bij het ontwerp Privacy Enhancing Technologies (PET) zijn overwogen

Toelichting privacy-by-design / PET

A.4 Bewaartermijnen

Hoe lang worden gegevens bewaard, en wat gebeurt er daarna?

Bewaartermijn(en) *

Wijze van vernietiging / anonimisering

A.5 Betrokken partijen

Wie zijn de partijen rond deze verwerking en waar worden gegevens (mogelijk) heen gestuurd?

Verwerkingsverantwoordelijke *

Verwerkers (en sub-verwerkers)

Andere ontvangers

Doorgifte naar landen buiten de EER

B.1 Wettelijke grondslag, doelbinding en noodzaak

Op welke grondslag rust de verwerking, en is ze noodzakelijk en evenredig?

Grondslag (AVG art. 6) *

Onderbouwing van de grondslag *

Doelbinding

Proportionaliteit

Subsidiariteit

B.2 Bijzondere gegevens en geautomatiseerde besluitvorming

Wordt er aanvullend regime geraakt door bijzondere gegevens of profilering?

Bijzondere persoonsgegevens (AVG art. 9) of strafrechtelijke gegevens (art. 10)? Ja Nee

Indien ja: welke uitzondering van art. 9 lid 2 of art. 10 wordt benut?

Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbare wezenlijke gevolgen (AVG art. 22)? Ja Nee

Indien ja: welke besluiten en welke waarborgen?

B.3 Rechten van betrokkenen

Hoe wordt geborgd dat betrokkenen hun rechten kunnen uitoefenen?

Informatieverstrekking (art. 13/14) *

Uitoefening van de rechten

C.1 Risicoanalyse (ISO/IEC 27005)

Identificeer per dreiging: het asset, de aard van de dreiging (CIA), de kwetsbaarheid, kans × impact (1-5) en de gekozen behandeling. Voeg zoveel rijen toe als je nodig hebt.

Toelichting: kans en impact gebruiken een 5-puntsschaal (1 = zeer laag, 5 = zeer hoog). De risicoscore (kans × impact) loopt van 1 t/m 25 — ≤6 laag, 7-12 midden, 13-19 hoog, ≥20 zeer hoog. Bepaal vervolgens of je de dreiging gaat vermijden, beperken, overdragen (bv. verzekering, contract) of accepteren (gemotiveerd).

Risico's vanuit het perspectief van betrokkenen (rechten en vrijheden)

C.2 Aanvullende maatregelen en restrisico

Welke overkoepelende technische en organisatorische maatregelen worden genomen, en wat blijft er aan restrisico over?

Technische maatregelen

Organisatorische maatregelen

Beoordeling restrisico (na maatregelen) *

Toelichting bij het restrisico

C.3 FG-advies, raadpleging en vaststelling

Sluit de DPIA af met advies en formele vaststelling.

Partijen betrokken bij het opstellen van de DPIA Klik aan wat van toepassing is (meerdere mogelijk).

Privacy officer Proces-/materiedeskundige Ketenpartners Juridische zaken Informatiebeveiliging ICT

Consultatie met de doelgroep / betrokkenen

Advies van de Functionaris Gegevensbescherming

Voorafgaande raadpleging Autoriteit Persoonsgegevens (art. 36)? Ja, ingediend / nodig Nee, niet nodig Nog in afweging

Vastgesteld door

Datum vaststelling

Resultaat

—

Hoogste risicoscores

Aandachtspunten

De PDF bevat alle 11 secties, een samenvatting van de risicoanalyse en de bronnen. Je e-mailadres is nodig voor de download — Hans Leemans krijgt een melding zodat hij eventueel kan aanvullen.

Volledige DPIA — Rijksmodel