NOREA-Handreiking Data Protection Impact Assessment (DPIA)
NOREA, de beroepsorganisatie van IT-Auditors, heeft een handreiking gepubliceerd voor het uitvoeren van een 'data protection impact assessment'.
Deze assessments zijn verplicht als een organisatie persoonsgegevens wil gaan verwerken, terwijl het privacyrisico hoog is. Dit volgt uit de Algemene Verordening Gegevensbescherming (AVG). De handreiking sluit ook aan bij ISO 31000/31010, de internationale standaard voor risicomanagement.
"De NOREA-handreiking onderscheidt zich op een cruciaal punt van alle andere beschikbare DPIA-handreikingen. Terwijl in de andere handleidingen risicomanagement een black box blijft, beschrijft NOREA een concrete, praktische methode om de risico's te beoordelen (risk assessment) en te behandelen (risk treatment). Dit leidt tot doordachte maatregelen. Bovendien ontstaat voor iedereen een herkenbaar risicobeeld, wat bijdraagt aan een breed draagvlak bij alle stakeholders van de DPIA. Illustratieve praktijksituaties vereenvoudigen het toepassen van de handreiking", aldus de beroepsorganisatie.
De handreiking (bestaande uit twee documenten) is de actualisatie van de PIA-handreiking van de NOREA-Kennisgroep Privacy. De eerder gepubliceerde PIA was nog gebaseerd op de WBP (Wet Bescherming Persoonsgegevens). De nieuwe DPIA-aanpak sluit dan ook op onderdelen aan op het eerder gepubliceerde NOREA Privacy Control Framework.
Ook de nieuwe Handreiking DPIA is weer bestemd voor een brede doelgroep, bestaande uit opdrachtgevers en opdrachtnemers van DPIA's – waaronder de IT-auditor in de rol van adviseur. De aanpak is geschikt voor elk type organisatie, aldus NOREA.
Gerelateerd

Recordboete voor fiscus wegens illegale zwarte lijst
De Autoriteit Persoonsgegevens heeft de Belastingdienst een boete van 3,7 miljoen euro opgelegd omdat de fiscus jarenlang een illegale zwarte lijst hanteerde om...

KVK in beroep om doorspelen gegevens aan banden te leggen
De Kamer van Koophandel (KVK) gaat in beroep tegen een vonnis dat de instantie verplicht onbeperkt gegevens te delen. De beheerder van het Handelsregister wilde...

Ierland legt Facebook-eigenaar boete van 17 miljoen euro op
Meta, het moederbedrijf van Facebook, moet van de Ierse toezichthouder voor privacy een boete van 17 miljoen euro betalen wegens twaalf datalekken bij het socialmediaconcern.

Toezichthouders willen betere voorlichting over online gebruik gegevens van internetgebruikers
Bedrijven, instellingen en overheden moeten mensen beter voorlichten hoe zij hun gegevens online gebruiken.

DPG Media krijgt forse boete van Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens (AP) heeft DPG Media een boete opgelegd van 525 duizend euro.