Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.4.2
6.4.2 Relatie tot beveiligingsverplichtingen
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS661025:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie i.h.b. Demetzou 2020-II, p. 139; Gellert 2020, §5.2.3.1. Zie ook Quelle 2017, §III.B,
Art. 29-werkgroep 2017, WP 248rev.01, p. 17-18. Een DPIA dient immers te waarborgen dat de risico’s die een verwerking meebrengt voor de bescherming van persoonsgegevens afdoende worden beheerst en – in het verlengde daarvan – dat de daarbij betrokken persoonsgegevens voldoende worden beschermd. Verder kan de uitkomst van de DPIA ook een rol spelen in het kader van art. 25 AVG (Bygrave 2017, p. 115.). De DPIA moet namelijk zo vroeg mogelijk bij het ontwerpen van een verwerking worden verricht, ook als niet alle opties van de verwerking duidelijk zijn (art. 29-werkgroep 2017, WP 248rev.01, p. 13.). Zo kan men reeds in de ontwikkelingsfase extra waarborgen treffen.
Een van de elementen die de verwerkingsverantwoordelijke moet meenemen bij de gegevensbeschermingseffectbeoordeling, is de set aan maatregelen waarmee hij de geïdentificeerde risico’s wil beperken. Het gaat hierbij allereerst om de maatregelen in de zin van art. 24 AVG.1 De DPIA is zo een hulpmiddel voor de naleving van de verantwoordingsplicht.2
In het verlengde hiervan is een DPIA ook relevant bij het treffen van beveiligingsmaatregelen. Met de gegevensbeschermingseffectbeoordeling kan de verwerkingsverantwoordelijke controleren of de geplande beveiligingsmaatregelen passen bij de risico’s die zijn verwerking mee zal brengen.3 Het verrichten van een gegevensbeschermingseffectbeoordeling helpt zo ook bij de naleving van de AVG-beveiligingsbepalingen. De verwerkingsverantwoordelijke kan er daarom ook voor kiezen zo’n beoordeling te verrichten wanneer hij daartoe niet verplicht is. Dat kan dan bijdragen aan de naleving van onder meer art. 32 AVG.