Mag ik een model-DPIA rechtstreeks overnemen?

Je kunt een model-DPIA niet klakkeloos overnemen. Het is belangrijk om een eigen analyse te maken op de volgende punten:

Komt het gebruik van de clouddienst/functionaliteit voldoende overeen met het beschreven gebruik van de clouddienst/functionaliteit in de model DPIA?

Bijvoorbeeld een DPIA voor cameratoezicht op een school. Voor een beoordeling van de risico’s maakt het behoorlijk uit of je in ieder trappenhuis een aantal camera’s hebt hangen of dat je buiten één camera hebt hangen om het buiten terrein tijdens de pauze globaal in de gaten te houden. Zo ja, dan kan de DPIA worden hergebruikt.

Een ander voorbeeld: voor Office 365 zijn al DPIA’s uitgevoerd. Als je de software onder de onderwijsvoorwaarden hebt aangeschaft én de door APS geadviseerde maatregelen neemt, zijn er geen hoge risico’s voor de privacy en hoef je geen nieuwe DPIA uit te voeren. Wel moet je dan de overwegingen op papier zetten, je FG-er laten adviseren en de tekenbevoegde de overwegingen, de verschillen met jullie situatie en de aangepaste DPIA laten goedkeuren.

Verder moet een DPIA worden uitgevoerd voorafgaand aan het gebruik van de clouddienst. Indien je de dienst al gebruikt, gelden andere regels:

  • Als het goed is, heb je al eerder een risicoanalyse uitgevoerd, bijvoorbeeld onder de WBP. Alleen als de risico’s behoorlijk veranderen, moet je opnieuw een DPIA uitvoeren.
  • Als de risico’s niet veranderen, verdient het aanbeveling om te controleren of je nog voldoet aan de AVG.