De DPIA-reeks III: Wie betrek je bij een DPIA?

Sinds het invoeren van de AVG in 2018 is de beveiliging van persoonsgegevens een actueler thema dan ooit. Gemeenten en andere (overheids)organisaties verwerken persoonsgegevens op grote schaal en zijn dus kwetsbaar voor datalekken en andere beveiligingsrisico’s. Preventie en beheersing van privacyrisico’s is bij deze organisaties cruciaal. Hier krijgen wij, als adviseurs van KBenP Digitale Overheid, steeds vaker mee te maken. Om in de kennisbehoefte te voorzien, hebben wij een handreiking geschreven om DPIA-uitvoeringen te ondersteunen. In deze reeks zullen wij wekelijks een fragment uit dit handboek publiceren. Vandaag deel 3 van de reeks: Wie betrek je bij een DPIA?

Wil je liever het hele handboek lezen? Doe dan een aanvraag tot downloaden via het kopje ‘Downloads’. Liever in persoon een keer overleggen over DPIA’s? Stuur dan een bericht naar klaske.schep@kbenp.nl.

Wie moet je bij een DPIA betrekken?

De verantwoordelijkheid voor het uitvoeren van een DPIA ligt in principe bij de verwerkingsverantwoordelijke van een proces. Dit is de partij die besluit om persoonsgegevens voor bepaalde doeleinden te verwerken. In ons geval dus bijvoorbeeld de gemeente. De verantwoordelijke voor het daadwerkelijk uitvoeren ligt bij de proceseigenaar.

Om een DPIA goed uit te kunnen voeren moeten er verschillende rollen aangehaakt zijn, onder andere:

  • Proceseigenaar
    • Bijvoorbeeld voor een beschrijving van de beoogde persoonsgegevens
  • Systeemeigenaar
    • Bijvoorbeeld voor een beschrijving van de beoogde gegevensverwerking, de systemen voor gegevensverwerking en de risicobeoordeling
    • De risicobeoordeling en het vaststellen van de voorgenomen maatregelen
  • Functioneel beheerder
    • Het beschrijven van de beoogde gegevensverwerking
    • De systemen voor gegevensverwerking
    • De risicobeoordeling en het vaststellen van de voorgenomen maatregelen
  • Technisch beheerder
    • Bijvoorbeeld bij de beschrijving van de systemen voor gegevensverwerking
    • De risicobeoordeling en het vaststellen van de voorgenomen maatregelen
  • Juridische experts
    • Bijvoorbeeld bij de beoordeling van de rechtmatigheid voor gegevensverwerkingen en de risicobeoordeling.
  • Informatiebeveiligingexperts (bijvoorbeeld de FG en de CISO/Privacy Officer)
    • Bijvoorbeeld voor de risicobeoordeling en het vaststellen van de voorgenomen maatregelen[1]
  • De verantwoordelijke voor de technische implementatie/initiatiefnemer
    • Bijvoorbeeld een projectleider
    • Mensen uit de business. Bijvoorbeeld medewerkers die veel met het zaaksysteem/een bepaald proces te maken zullen hebben

In de praktijk verschilt het wie je bij een DPIA betrekt en hangt dit ook af in welke fase van het proces je een DPIA uitvoert (de aanschaf van een systeem behoeft een andere samenstelling van het DPIA-team dan het inrichten van een nieuw proces in een bestaand systeem). In de praktijk bestaat een DPIA-team vaak enkel uit een projectleider, en de FG-en de proceseigenaar. Maar daarnaast haken sommige organisaties ook de medewerkers aan op wie de gegevens betrekking hebben en de Functioneel Beheerder De proceseigenaar is echter altijd verantwoordelijk voor het uitvoeren van een DPIA.

Deel dit bericht:

Facebook
LinkedIn

Geef een reactie

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.