Moet ik als deelnemer een Data Protection Impact Assessment (DPIA) uitvoeren en hoe?

In de ‘algemene’ Barometer niet. Werkgevers moeten alleen een DPIA uitvoeren als ze zélf persoonsgegevens gaan verwerken (waarbij ‘verwerken’ in brede zin gaat over verzamelen, opslaan en dingen doen met persoonsgegevens).

In de ‘ingezoomde’ Barometer kunt u als werkgever overgaan tot het opstellen van een DPIA, omdat u als werkgever gegevens van uw werknemers gaat aanleveren aan het CBS. De DPIA is een zelfbeoordeling, waarin u onder andere wordt gevraagd uit te leggen waarom de gegevensverwerking die u wilt uitvoeren proportioneel is voor het beoogde doel. Op de website van de Autoriteit Persoonsgegevens vindt u meer informatie.

Overigens is het advies van de adviserende Groep Gegevensbescherming Artikel 29 van de Autoriteit Persoonsgegevens, dat een DPIA slechts nodig in het geval van een hoog risico, zoals toegelicht vanaf bladzijde 10 van hun Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking "waarschijnlijk een hoog risico inhoudt" in de zin van Verordening 2016/679 (die Verordening is de AVG).