wat is een DPIA
20.11.2020

Data Protection Impact Assessment (DPIA): waarom, wanneer en hoe?

Wil je persoonsgegevens verwerken en is de kans groot dat die verwerking een hoog risico heeft voor de privacy van de betrokkenen? Dan moet je een DPIA uitvoeren. De AVG is daar duidelijk over. Maar wat is een DPIA precies?

DPIA staat voor Data Protection Impact Assessment. In het Nederlands vertaald: ‘gegevensbeschermingseffectbeoordeling’ (GEB). Vaak wordt echter de term PIA gebruikt, die nog uit de Wet Bescherming Persoonsgegevens stamt.

Een DPIA geeft inzicht in de privacyrisico’s die een gegevensverwerking oplevert. Maar ook in de maatregelen die de verantwoordelijke moet nemen om deze risico’s te voorkomen of minimaliseren en te beheersen. Het is dus geen audit of quick scan van een complete organisatie, maar een instrument om vooraf de risico’s van een specifieke verwerking in kaart te brengen.

Na het uitvoeren ervan weet je:

  • welke persoonsgegevens je verwerkt;
  • welke beschermende maatregelen je al hebt genomen;
  • wat de impact is op zowel de betrokkenen als de organisatie;
  • welke verbeteringen je kunt doorvoeren.

Waarom een DPIA?

Een DPIA voer je dus uit om de risico’s voor de betrokkenen inzichtelijk te maken, zodat je die kunt minimaliseren. Je moet de impact van de verwerking, het proces of de wijziging voor de betrokkene beoordelen. Op basis daarvan kun je bepalen waar de organisatie maatregelen moet treffen om de privacy te waarborgen. Zo voldoe je meteen aan enkele belangrijke principes die voortvloeien uit de AVG.

Een DPIA is daarmee niet een trucje om als organisatie compliant te worden! Anderzijds is het natuurlijk wel zo dat je op basis van de uitkomsten ervan jouw organisatie kunt verbeteren. Toch is het belangrijk om oorzaak en gevolg uit elkaar te houden. Al was het maar omdat je als verwerkingsverantwoordelijke door de AVG verplicht bent om privacy by design in te richten in jouw organisatie. DPIA’s kunnen daarbij helpen door bij het ontwerp van processen, projecten en verwerkingen de privacy risico’s inzichtelijk te maken.

In de praktijk geef ik duiding en advies door me vooral te richten op wat er wel kan. Bij sommige collega’s kan de privacywetgeving niet altijd op begrip rekenen. Dan vraag ik ze om zich in de betreffende persoon of diens naasten te verplaatsen. Hoe zouden zij er dan tegenaan kijken? De burger, de cliënt, daar doe je het immers voor! Deze aanpak zorgt voor begrip en onderstreept het doel van de privacywetgeving.

Hans Over de Vest, Functionaris Gegevensbescherming gemeente Maassluis

Wanneer een DPIA?

Er zijn veel situaties waarin je een DPIA moet uitvoeren. Als je beschikbare persoonsgegevens voor andere doeleinden wilt gaan gebruiken, bijvoorbeeld. Of een samenwerking aangaat waarbij privacy-gevoelige gegevens worden gedeeld. Of een nieuwe technologie gaat gebruiken of van IT-leverancier verandert. Je moet dus continu blijven monitoren of de gegevensverwerking verandert. Zodra dat het geval is, moet je een DPIA uitvoeren.

Een DPIA is in elk geval verplicht als de organisatie uitvoerig en systematisch persoonlijke gegevens beoordeelt, zoals bijvoorbeeld beroepsprestaties, persoonlijke voorkeuren, gezondheid of gedrag. Of als de organisatie op grote schaal bijzondere gegevens van personen verwerkt of mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld door middel van cameratoezicht.

‘Een DPIA moet natuurlijk worden uitgevoerd als er nieuwe processen komen of grote wijzigingen zijn. Maar ook reguliere processen moet je regelmatig tegen het licht houden. Als Functionaris Gegevensbescherming ben je de interne toezichthouder van jouw organisatie. Je signaleert, communiceert je bevindingen en controleert of de juiste acties zijn ondernomen. De verantwoordelijkheid voor het uitvoeren van een DPIA ligt echter niet bij jou, maar bij de procesmanagers. Uiteindelijk moet de organisatie het doen, niet de Functionaris Gegevensbescherming.’

Peter van Dam, Controller en Functionaris Gegevensbescherming gemeente Oldambt

Voorbeelden

We geven nog wat voorbeelden. Online vergaderen via Microsoft Teams of Google Meet, bijvoorbeeld. Want hoe gaan deze bedrijven om met de gegevens die ze verwerken? Wat gebeurt er met de persoonsgegevens van degenen die deelnemen aan de vergadering? Worden die opgeslagen of niet?

Of stel je een situatie voor waarin er een nieuwe partij aansluit bij een casusoverleg. Dan moet je een analyse uitvoeren en de risico’s benoemen. Hoe zorg je ervoor dat er niet nodeloos kopieën worden gemaakt die kunnen gaan rondzwerven? En dat het rapport niet op een bureau blijft liggen of openstaat op een computer als de behandelaar even weg is van zijn werkplek?

Bewustzijn creëren

Pas als je op de hoogte bent van de ontwikkelingen in je organisatie, kun je bepalen of een DPIA nodig of wenselijk is. Als Functionaris Gegevensbescherming (FG) of Privacy Officer (PO) moet je daarom van begin af aan betrokken worden bij ontwikkelingen zoals de aanschaf of inrichting van nieuwe systemen, projecten en processen. De organisatie moet jou voeden met informatie zodat jij kunt bepalen of het uitvoeren van een DPIA nodig is.

Je hebt als FG of PO dus de belangrijke taak om bewustzijn te creëren in jouw organisatie over het nut en noodzaak van het uitvoeren van DPIA’s. Niet alleen bij het management, maar in de hele organisatie. Zorg er bijvoorbeeld ook voor dat je aan de voorkant van de inkoopprocessen zit zodat je jullie inkoper goed op de hoogte kunt brengen van de randvoorwaarden voor de processen rondom privacy.

Verder moet je goede afspraken maken en controleren of de betrokkenen die nakomen. Dat geldt niet alleen voor verwerkersovereenkomsten met techbedrijven, maar ook voor andere partners die gegevens kunnen inzien en natuurlijk voor collega’s onderling.

‘Zeker in jongere organisaties is het vaak lastig om tot actie over te gaan en DPIA’s uit te voeren. Vaak wordt je als FG te laat betrokken bij voorgenomen veranderingen. Dit kun je verbeteren door bestuur, management en proceseigenaren bewust te maken van de noodzaak van DPIA’s. Daarbij helpt het als een onafhankelijke partij onderzoek doet en de organisatie confronteert met de bevindingen.’

Annerine Blufpand, Functionaris Gegevensbescherming HLTsamen.

Hoe: IC Content en -vooral- IC Control

Gebruik de checklist via onderstaand formulier om te bepalen of je verplicht bent om een DPIA uit te voeren.  In IC Content van SafeHarbour vind je ook de eisen waaraan een DPIA moet voldoen en een beschrijving van het proces en die van de rol van de Functionaris Gegevensbescherming ontbreken niet in IC Content.

IC Control gaat verder. Waar IC Content inzicht geeft in de praktische invulling, laat IC Control zien waar de organisatie staat en waar de risico’s liggen. In de risicomodule vind je een slimme DPIA-vragenlijst. Die doorloop je in een sessie waarbij de proceseigenaar (en soms ook de leverancier) betrokken is. Op basis van de antwoorden krijg je direct een indicatie van de mogelijke bedreigingen met suggesties voor maatregelen die je moet treffen binnen de verschillende normenkaders.

Groot voordeel hiervan is dat je dit niet meer zelf hoeft uit te zoeken en je direct inzicht hebt in de status van die maatregelen. Dit helpt enorm bij het inschatten van de vraag of deze bedreigingen ook daadwerkelijk een risico vormen voor de betrokkene en de organisatie.

Binnen het systeem kun je namelijk een gap-analyse uitvoeren die laat zien in welke mate de organisatie al compliant is en welke maatregelen je nog moet treffen om aan alle regels te voldoen. Deze kun je deze weer vertalen naar taken die je uitzet naar de verantwoordelijken.

Binnen IC Control kun je zelf aangeven wat de status van de maatregelen is en hier bewijslast aan koppelen. Dat helpt enerzijds bij het beperken van de risico’s en vereenvoudigt daarnaast het doorlopen van audits.

Beluister onze podcast: Wat is een DPIA en wanneer voer je deze uit?

Meer informatie

Heb je nog vragen over DPIA’s of wil je graag meer weten wat SafeHarbour voor je kan betekenen? Neem dan gerust even contact met ons op en wij kunnen je toelichting geven hoe onze tool IC Content je voorziet in de input en hoe onze tool IC Control jou verder helpt en ondersteunt in het uitvoeren van een DPIA.

Download de Checklist DPIA: