DPIA’s in de praktijk: 5 belangrijke tips

October 27, 2019
De AVG is al weer meer dan een jaar van kracht. Veel organisaties hebben stappen gezet om privacy beter in te richten. Natuurlijk was het in het begin wat zoeken en nog lastig om overzicht te krijgen. Maar met een gefaseerde aanpak en het in kaart brengen van de grootste risico’s (of onzekerheden) is er wel degelijk vooruitgang geboekt. Dat de belangrijkste risico’s binnen organisaties langzaamaan bekend zijn merken we ook aan de toename van het aantal DPIA’s dat wordt uitgevoerd. De DPIA (Data Protection Impact Assessment), ook wel PIA of GEB genoemd, is in artikel 35 van de AVG verplicht gesteld voor verwerkingen van persoonsgegevens waarbij waarschijnlijk een hoog risico voor de rechten en vrijheden van betrokkenen optreedt.

Als je zorgt voor een duidelijk besluitvormingsproces voor de uitvoering van DPIA´s, dan hoef je het alleen nog maar te gaan doen. Nu is dat niet altijd even eenvoudig, vooral omdat er een combinatie van technische, juridische, en organisatorische kennis vereist is. Bij Privacy Company hebben we veel ervaring met het uitvoeren en begeleiden van DPIA’s. Dus de hoogste tijd om een paar belangrijke tips uit de praktijk te delen.

1. Bepaal duidelijk de scope

De DPIA moet over een duidelijk afgebakend geheel gaan. Het mag gaan om één verwerking of om een geheel van verwerkingen van persoonsgegevens. Of om een bepaald systeem. Kijk dus goed welke verwerkingen als een geheel zijn te beschouwen. Misschien is het nodig om de DPIA op te knippen in kleinere stukjes met een algemeen deel (dat herbruikbaar is) en specifieke uitwerkingen voor bepaalde losse verwerkingen of processen. Zorg er in ieder geval voor dat het voor iedereen die betrokken is bij de DPIA duidelijk is waar het over gaat om te voorkomen dat er teveel dingen bijgehaald worden uit de omringende processen. Anders is het te lastig om een goede beschrijving van de verwerkingen op te stellen. Het is natuurlijk wel handig om als er dingen langskomen die relevant zijn maar niet binnen de scope vallen, deze te noteren en als kanttekening bij de conclusie op te nemen. Zo raken ze niet uit het oog verloren en worden ze wel erkend als mogelijke bron van een risico, maar gaat het niet ten koste van de scherpte van de DPIA waar je mee bezig bent.

2. Zorg voor de juiste focus

Naast de scope is de focus belangrijk. Dat is vooral aan de orde bij nieuwe systemen of technische wijzigingen. Een nieuw systeem kan bijvoorbeeld bepaalde risico’s opleveren. Je moet dan kijken naar dat systeem en niet (alleen) naar de verwerkingen die binnen je organisatie al werden uitgevoerd. Anders wordt alleen gekeken naar de legitimiteit van de verwerkingen op zichzelf (die bij bestaande verwerkingen hopelijk al in orde is), maar niet naar de gevolgen van het uitvoeren van de verwerkingen in het nieuwe systeem. Denk bijvoorbeeld aan risico’s die ontstaan doordat autorisaties anders worden ingericht, doordat verschillende databronnen gekoppeld kunnen worden, of doordat bewaartermijnen veranderen. Hetzelfde geldt als een bestaande applicatie die nu lokaal op een server draait naar de cloud wordt gemigreerd. Daar moet je dus vooral kijken naar de risico’s die ontstaan doordat bestaande verwerkingen opeens online plaatsvinden in een omgeving buiten de eigen controle.

3. Verplaats je in de positie van de betrokkene

Een van de moeilijkste onderdelen is het inschatten van de risico’s. Probeer je in te leven in de positie van de betrokkene, dus degene over wie de gegevens gaan. Als werknemer van je organisatie heb je natuurlijk de beste bedoelingen en wil je je werk zo goed mogelijk doen, maar misschien roepen bepaalde activiteiten bij de betrokkene wel vraagtekens op. Het redeneren vanuit de gedachte ‘Wat als dit over mij gaat?’ kan helpen om dat soort effecten boven tafel te krijgen. Een goedbedoelde actie om 50-plussers een korting aan te bieden is aardig, maar kan bijvoorbeeld ook de vraag oproepen hoe jij weet dat iemand in die categorie valt. Je gezonde boerenverstand gebruiken is nog steeds een van de beste middelen om hier de juiste afweging te maken.

4. Probeer de reeds bedachte maatregelen eerst weg te denken

Nog een lastige: beschrijf de risico’s eerst alsof er nog geen maatregelen zijn getroffen. Dus ook al weet je dat je gegevens gaat versleutelen en dat je de toegang tot gegevens beperkt met autorisaties; schrijf eerst de risico’s op van ongeoorloofde toegang tot de gegevens, en het misbruik van de gegevens als deze onverhoopt in een datalek zitten. Vervolgens zet je daar die maatregelen tegenover en streep je de risico’s weg. Dat klinkt als dubbel werk, maar het helpt vooral om geen risico’s over het hoofd te zien. Wat ook helpt is om de risico’s te nummeren en per risico één of meer tegenmaatregelen te benoemen. Als het goed is heb je uiteindelijk bij elk risico een passende maatregel.

5. Vergeet niet om een conclusie te trekken

En tot slot: trek een duidelijke conclusie. De DPIA moet geen papieren invuloefening zijn, maar is input voor besluitvorming over het wel of niet doorzetten van de verwerkingen of de systemen. De afweging van de risico’s en de daartegenover gestelde maatregelen moet dus resulteren in een conclusie dat het wel of niet aanvaardbaar is om door te gaan. Of anders in een helder advies richting de beslissers. En let op: de conclusie en het besluit zijn altijd afhankelijk van het daadwerkelijk treffen van de opgesomde maatregelen. Dus zorg dat die voorwaarde wordt ingevuld voordat daadwerkelijk een ‘go’ wordt gegeven voor implementatie.

Tot slot

Hopelijk helpen deze tips, om binnen jouw organisatie beter af te stemmen welke DPIA’s nodig zijn, waar ze over moeten gaan, en welke maatregelen er nodig zijn. Uiteraard zijn wij graag bereid een helpende hand te bieden. Dus als je hulp nodig hebt, of gewoon zelf te weinig tijd hebt om een DPIA uit te voeren, aarzel dan niet en neem contact op met een van onze adviseurs.

Download
Arnold
Directeur