Beoordelingen op de impact van gegevensbescherming (DPIA's)

Onder de AVG moet je als controller voorafgaand aan de gegevensverwerking DPIA's uitvoeren waarvan de kans groot is dat deze resulteren in een groot risico voor de rechten en vrijheden van personen, met name verwerking met behulp van nieuwe technologieën. De AVG geeft de volgende niet-uitputtende lijst van gevallen waarin DPIA's moeten worden uitgevoerd:

• Geautomatiseerde verwerking voor profilering en soortgelijke activiteiten die juridische gevolgen heeft of op vergelijkbare wijze van invloed is op betrokkenen;
• Verwerking op grote schaal van speciale categorieën van persoonsgegevens (gegevens die raciale of etnische afkomst, politieke overtuiging en dergelijke onthullen) of van gegevens met betrekking tot strafrechtelijke veroordelingen en misdrijven;
• Systematische bewaking van een openbaar toegankelijke ruimte op grote schaal.

De GDPR vereist ook dat je je gegevensbeschermingsautoriteit (DPA) moet raadplegen voordat je met een verwerking begint, als je niet voldoende mitigaties kunt identificeren om hoge risico's voor betrokkenen te minimaliseren.

Microsoft hanteert ingebouwde privacy en standaardprivacy in de technische en zakelijke functies. Als onderdeel van deze inspanningen voert Microsoft uitvoerige privacycontroles uit op gegevensverwerkingsactiviteiten die mogelijk gevolgen kunnen hebben voor de rechten en vrijheden van betrokkenen. Privacyteams die zijn geïntegreerd in de servicegroepen, bekijken het ontwerp en de implementatie van services om ervoor te zorgen dat persoonlijke gegevens op een respectvolle manier worden verwerkt, in overeenstemming met internationale wetgeving, verwachtingen van gebruikers en onze uitdrukkelijke toezeggingen. Deze privacycontroles zijn meestal erg gedetailleerd: een bepaalde service kan tientallen of honderden controles ontvangen. Microsoft voegt deze gedetailleerde privacycontroles samen in DPIA's (beoordelingen van de impact op gegevensbescherming) die betrekking hebben op grote verwerkingsgroepen, die vervolgens door de Microsoft EU Data Protection Officer (DPO) worden beoordeeld. De DPO beoordeelt de risico's in verband met de gegevensverwerking om ervoor te zorgen dat er voldoende maatregelen worden genomen. Als de DPO risico's vindt waarvoor er geen maatregelen bestaan, stelt hij of zij wijzigingen voor bij de engineeringgroep. DPIA's worden beoordeeld en bijgewerkt wanneer de gegevensbeschermingsrisico's veranderen.

Microsoft heeft als verwerker de taak om controllers te helpen bij het waarborgen van de naleving met de DPIA-vereisten die zijn vastgelegd in de AVG.

Om onze klanten te ondersteunen, worden relevante secties van de DPIA's van Microsoft geabstraheerd en worden deze via deze sectie verstrekt in toekomstige updates met de bedoeling om controllers die afhankelijk zijn van Microsoft-services, de abstracts te laten gebruiken om hun eigen DPIA's te maken.