Moet ik als deelnemer een Data Protection Impact Assessment (DPIA) uitvoeren en hoe?

Werkgevers moeten alleen een DPIA uitvoeren als ze zélf persoonsgegevens gaan verwerken (waarbij ‘verwerken’ in brede zin gaat over verzamelen, opslaan en dingen doen met persoonsgegevens). Bij de algemene Barometer is dat niet het geval en is een DPIA niet nodig.

Het advies van de adviserende Groep Gegevensbescherming Artikel 29 van de Autoriteit Persoonsgegevens, is dat een DPIA slechts nodig is in het geval van een hoog risico, zoals toegelicht vanaf bladzijde 10 van hun Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking "waarschijnlijk een hoog risico inhoudt" in de zin van Verordening 2016/679 (die Verordening is de AVG).

Bij de ‘ingezoomde’ Barometer kunt u als werkgever overgaan tot het opstellen van een DPIA, omdat u als werkgever gegevens van uw werknemers gaat aanleveren aan het CBS. De DPIA is een zelfbeoordeling, waarin u onder andere wordt gevraagd uit te leggen waarom de gegevensverwerking die u wilt uitvoeren proportioneel is voor het beoogde doel. Op de website van de Autoriteit Persoonsgegevens vindt u meer informatie.