De DPIA-reeks IV: Hoe voer je een DPIA uit?

Sinds het invoeren van de AVG in 2018 is de beveiliging van persoonsgegevens een actueler thema dan ooit. Gemeenten en andere (overheids)organisaties verwerken persoonsgegevens op grote schaal en zijn dus kwetsbaar voor datalekken en andere beveiligingsrisico’s. Preventie en beheersing van privacyrisico’s is bij deze organisaties cruciaal. Hier krijgen wij, als adviseurs van KBenP Digitale Overheid, steeds vaker mee te maken. Om in de kennisbehoefte te voorzien, hebben wij een handreiking geschreven om DPIA-uitvoeringen te ondersteunen. In deze reeks zullen wij wekelijks een fragment uit dit handboek publiceren. Vandaag het vierde en laatste deel uit de reeks: Hoe voer je een DPIA uit in de praktijk?

Wil je liever het hele handboek lezen? Doe dan een aanvraag tot downloaden via het kopje ‘Downloads’. Liever in persoon een keer overleggen over DPIA’s? Stuur dan een bericht naar klaske.schep@kbenp.nl.

Hoe voer je een DPIA uit?

Er is niet één vaste methode om een DPIA uit te voeren. Verschillende soorten vragenlijsten kunnen gebruikt worden, zolang ze maar voldoen aan de basisvereisten zoals deze in de AVG beschreven staan. Zie de bijlage van dit handboek voor voorbeelden van vragenlijsten (zie bijlagen 1 en 2) die voor de uitvoer van een DPIA gebruikt kunnen worden.

Een DPIA moet in ieder geval het volgende bevatten:

  • Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan. Beroept de organisatie zich op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving. 
  • Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen. Dat houdt in: is het verwerken van persoonsgegevens op deze manier noodzakelijk op het doel te bereiken? En is de inbreuk op de privacy van de betrokkenen (de mensen van wie gegevens verwerkt worden) niet onevenredig in verhouding tot dit doel?
  • Een beoordeling van de privacyrisico’s voor de betrokkenen.
  • De beoogde maatregelen om (1) de risico’s aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat er aan de AVG voldaan wordt.

Tip 1: het uitvoeren van een DPIA wordt vaak gezien als een ingrijpende en vertragende handeling binnen een verandertraject, maar hoeft dit niet te zijn. Door van tevoren voldoende draagkracht te generen bij belangrijke stakeholders en het uitvoeren van de DPIA strak in te plannen, kan er veel frustratie voorkomen worden. Het beantwoorden van de vragenlijst zou – behalve in uitzonderlijke en complexe situaties – niet langer dan een dagdeel in beslag hoeven nemen. Een geringe tijdsinvestering om een hoge boete te voorkomen!

Tip 2: Denk goed na over de timing van een uit te voeren DPIA. Zorg niet dat je dit gaat doen als de projectgroep voor bijvoorbeeld de aanbesteding al van start wil, dan kan het vertragend werken. Zorg dat je dat al voor bent!

Welke stappen moeten doorlopen worden?

Een zorgvuldig uitgevoerde DPIA moet ten minste de volgende vier stappen bevatten:

  1. Bepaal wie de DPIA gaat uitvoeren

Er moet vastgesteld worden welke personen binnen de organisatie betrokken moeten worden bij de uitvoer van de DPIA. Voor een uitvoerige beschrijving van dit keuzeproces verwijzen we naar het vorige hoofdstuk.

Hierbij is het van belang om duidelijke afspraken te maken over het aanwijzen van een procesverantwoordelijke, niet alleen voor het uitvoeren van de DPIA, maar ook voor rapportage aan de directie.

  • Formuleer de opdracht voor de DPIA

Zorg ervoor dat er, in samenspraak met de verantwoordelijke binnen de organisatie, een heldere opdracht wordt geformuleerd. In deze opdracht moet ten minste vermeld worden:

  1. Welke verandering de aanleiding is van de DPIA.
  2. Wanneer de DPIA gereed moet zijn.
  3. Hoe het resultaat van de DPIA vastgelegd wordt en aan wie gerapporteerd wordt.
  4. Welke methodes gebruikt worden om de DPIA uit te voeren.
  5. Op welke manier de resultaten van DPIA gebruikt worden, bijvoorbeeld om het project bij te stellen, en wie daarover beslist.
  6. Op welke manier de privacymaatregelen die uit het DPIA-resultaat voortvloeien, geborgd worden en wie hier de procesverantwoordelijke voor is.
  • Stel het DPIA-rapport op

Het DPIA-rapport, opgesteld naar aanleiding van het beantwoorden van de vragenlijsten, moet uiteindelijk antwoord geven op de volgende vragen:

a Om welke verwerkingen (applicaties) gaat het? Op welke manier veranderen de doelen en inhoud van de verwerkingen?

b Als het gaat om een nieuwe verwerking (applicatie): zijn de persoonsgegevens in deze verwerking in lijn met het doel van de verwerking? En is het doel van de verwerking in lijn met de legitieme organisatiedoelen?

c Welke risico’s voor privacy en/of informatieveiligheid zijn geconstateerd?

d Welke maatregelen zijn genomen/gepland om deze risico’s aan te pakken? Wat zijn de restrisico’s? (De resterende risico’s die bewust worden genomen waarvan het niet mogelijk is om ze 100% af te dekken met maatregelen).

  • Optioneel: de DPIA publiceren

Het is geen wettelijke verplichting om een DPIA te publiceren. Maar de Autoriteit Persoonsgegevens raadt dit wel aan, omdat dit het vertrouwen in uw gegevensverwerkingen kan bevorderen. Dit geldt vooral als het een overheidsorganisatie betreft, wat dus hoogstwaarschijnlijk het geval zal zijn.

Het is niet nodig om de volledige uitkomst van een DPIA te publiceren, aangezien deze ook gevoelige informatie kan bevatten. Een samenvatting van de belangrijkste resultaten is voldoende.

Deel dit bericht:

Facebook
LinkedIn

Geef een reactie

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.