DPIA resultaten
04.01.2021

Aan de slag met de resultaten van een DPIA!

Zodra je de juiste informatie voor een Data Protection Impact Assessment (DPIA) hebt verzameld, is het tijd om met de resultaten aan de slag te gaan. Hoe interpreteer je die precies? Wat is de impact van de risico’s die je hebt ontdekt en welke maatregelen stem je af met de verantwoordelijke?

In ons vorige blog hebben we uitgelegd waarom en wanneer je een DPIA moet uitvoeren en hoe je dit kunt doen. Het resultaat is dat je de antwoorden op relevante vragen weet. Denk daarbij bijvoorbeeld aan:

  • Wat houdt het project precies in?
  • Wat is de maatschappelijke context?
  • Om wiens gegevens gaat het?
  • Welke gegevens zijn dat?
  • Wat zijn de voorgenomen verwerkingen en verwerkingsdoeleinden?
  • Welke systemen worden hiervoor gebruikt?
  • Hoe worden gegevens tussen de systemen uitgewisseld?
  • Waarvoor worden de gegevens gebruikt?

Hulp van anderen

Meestal heb je daarbij hulp van anderen nodig. Dit kan de Privacy Officer (PO) zijn, de proceseigenaar, de ICT-manager, de Functionaris Gegevensbescherming (FG) of de Chief Information Security Officer (CISO). Maar bijvoorbeeld ook een vertegenwoordiger van een leverancier. Afhankelijk van de situatie bepaal je met wie je om tafel gaat. Dat hoeven dus niet alle genoemde functionarissen te zijn.

Het is van groot belang om alle relevante informatie op voorhand te verzamelen én te delen met alle betrokkenen. Alleen zo kun je in het overleg de antwoorden vinden die je zoekt. Je gesprekspartners moeten zich natuurlijk ook goed inlezen, anders is de kans groot dat sommige antwoorden alsnog uitblijven, terwijl de onderliggende stukken wel voldoende informatie bevatten.

DPIA-vragenlijst

Zodra je over alle informatie beschikt, ga je aan de hand van een DPIA-vragenlijst op zoek naar antwoorden op de vragen, zodat je de risico’s in beeld krijgt. Soms kun je dat alleen, vaak doe je dat samen met de proceseigenaar of in een team. Er zijn meerdere modellen beschikbaar van dergelijke lijsten. Een bekende is de NOREA-vragenlijst. Ook de Rijksoverheid en de Franse toezichthouder hebben templates ontwikkeld.

Als je tijdens en na de gesprekken de antwoorden heb gevonden op de vragen van de lijst, heb je de basis gelegd en de belangrijkste privacy risico’s in kaart gebracht. Nu kun je verder door de impact ervan te beoordelen en passende maatregelen te bedenken. Dat alles leg je vast in een rapportage met daarin opgenomen een advies van de FG voor de verwerkingsverantwoordelijken.

Wettelijke vereisten

Hoewel de wet niet voorschrijft welke methode je moet gebruiken, is er wel een aantal vereisten waaraan een DPIA moet voldoen. In praktijk betekent dit dat de rapportage de volgende onderdelen moet bevatten:

1. Een systematische beschrijving van de beoogde verwerkingen met betrekking tot de doeleinden.
2. Een beoordeling van de verwerkingen: wat is de noodzaak ten opzichte van de doeleinden en hoe verhouden deze zich tot elkaar?
3. Een beoordeling van de risico’s voor de rechten en vrijheden van de betrokkenen.
4. De beoogde maatregelen om die risico’s aan te pakken.

Voordelen van een GRC-tool

Een Governance, Risk & Compliance (GRC)-tool zoals IC Control van SafeHarbour biedt in dit traject veel voordelen. IC Control maakt het doorlopen van de genoemde stappen namelijk eenvoudig. Nadat de organisatie een dreigingsanalyse heeft uitgevoerd, geeft IC Control je inzicht in de maatregelen die je moet treffen om bedreigingen af te dekken. Hierdoor krijg je direct inzicht in de acties die de organisatie nog moet ondernemen om de kans op een incident te minimaliseren. Hoe meer maatregelen je neemt, hoe kleiner de kans dat er een ongewenste gebeurtenis plaatsvindt. Zo verlaag je dus het risico voor de belanghebbenden én de organisatie.

IC Control maakt gebruik van de NOREA-vragenlijst. Die keuze hangt samen met het gebruik van het Privacy Control Framework. Binnen dit normenkader zijn de beheersmaatregelen heel specifiek beschreven, waardoor het een heldere vertaling van de wetgeving is. Met andere woorden: door te kiezen voor een tool zoals IC Control ben je ervan verzekerd dat je aansluit op dat wat de wet vraagt.

Binnen IC Control kun je ook gebruik maken van de AVG-project quickscan waarmee je eenvoudig een beperkte DPIA kunt uitvoeren. Dat doe je bijvoorbeeld om een inschatting te maken als je een pilot of project start. Met de uitkomsten van de quickscan kun je alvast de eerste zaken aanpakken en daarmee dus voldoen aan de eis van privacy by design. Verder biedt IC Control diverse slimme vragenlijsten over – onder andere – wettelijke eisen inzake informatiebeveiliging, normenkaders, security baselines, toetsingskaders en Professional Judgement (ervaring).

Impact beoordelen en aanvullende maatregelen

Met het doorlopen van deze stappen heb je de DPIA uitgevoerd en dus alle bedreigingen in kaart gebracht. Nu is het tijd om de impact te beoordelen. Met de dreigingsanalyse van IC Control kun je, zoals gezegd, snel inschatten hoe groot de kans is dat er gevaar bestaat voor de rechten en vrijheden van de betrokkenen. Dit gebeurt op basis van het soort gegevens dat wordt verwerkt en de maatregelen die al zijn genomen.

Waar nodig moet je aanvullende maatregelen treffen. Dat kan bijvoorbeeld betekenen dat je moet nagaan of alle verwerkingen wel noodzakelijk zijn. Anders dan bij veel andere tools toont IC Control bij bedreigingen al direct maatregelen die je kunt nemen. Deze zijn gebaseerd op de normenkaders. Ook houd je inzicht in de status van deze maatregelen. Uiteraard kan de organisatie ook besluiten om bepaalde risico’s te accepteren. In dat geval tref je geen verdere maatregelen.

Rapportage en akkoord

Uiteindelijk leg je alles vast in een rapport waarin de vier eerder genoemde vereisten duidelijk zijn verwoord. In deze rapportage vraag je verder een akkoord van de verwerkings- en budgetverantwoordelijke om de maatregelen door te voeren die je hebt voorgesteld. Uiteraard moet de organisatie de maatregelen vervolgens nog wel implementeren. De FG heeft ook hier een rol, namelijk door te controleren of dit gebeurt en door aansluitend te evalueren.

De budgetverantwoordelijke zijn vrij om het advies en de aanbevolen maatregelen naast zich neer te leggen. Daarmee accepteren ze wel de risico’s. Deze verantwoordelijkheid ligt niet bij jou of andere medewerkers. Uiteraard benoem je deze beslissing wel in je verslag.

Meer weten?

Heb je nog vragen naar aanleiding van dit artikel? We vertellen je graag meer over de mogelijkheden die wij én IC Control bieden om jou te ondersteunen bij het uitvoeren van een DPIA. Neem dan gerust even contact met ons op.