21
jan

De vijf meest gestelde vragen over DPIA's

 

Wat zijn de vijf meest gestelde vragen over DPIA’s? We zetten ze even op een rij. En voor degenen die niet weten wat een DPIA is dan meteen maar antwoord op die eerste vraag: wat is een Data Protection Impact Assessment? Het is een specifiek soort privacy risico analyse, die in bepaalde situaties verplicht is vanuit de privacywetgeving, de AVG.

1. Is een DPIA een toetsinstrument?

Nee, dit is niet correct. Veel bestuurders denken dat als een DPIA is uitgevoerd, dat de wet wordt nageleefd. Maar dat is niet terecht. Immers: de DPIA kan allerlei risico’s bevatten, waarvan een organisatie moet bepalen wat ze er mee wil doen. Maar als de DPIA geen ‘vinkje is wat je even zet’, wat is het dan wel?

De instructie voor het DPIA model voor de Rijksdienst geeft een duidelijke beschrijving: ”Een DPIA is geen instrument om vast te stellen of een voorgenomen gegevensverwerking in lijn is met de privacyregelgeving (compliance). Met de uitkomsten van een DPIA moet wel rekening worden gehouden bij het bepalen van de passende maatregelen die moeten worden genomen om aan te kunnen tonen dat de privacyregelgeving wordt nageleefd bij het verwerken van persoonsgegevens.”

 

Meer informatie over praktijkopleiding uitvoeren DPIA's 

 

2. Moet ik voor ieder proces een DPIA doen?

 

Soms wel, soms niet Een DPIA is wettelijk verplicht als een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen. Daarvan is bijvoorbeeld sprake van bij profiling, maar ook wanneer er op grote schaal bijzondere persoonsgegevens worden verwerkt en wanneer stelselmatige en grootschalige monitoring van de openbare ruimte plaatsvindt. De EDPB en de AP hebben nader uitgewerkt wanneer het verplicht is om een DPIA uit te voeren, zie bijvoorbeeld: link naar het PDF. 

 

Als je niet wettelijk verplicht bent om een DPIA uit te voeren, kan het nog steeds wel een goed idee zijn, bijvoorbeeld als er grote schaal gegevens worden verwerkt die betrokkenen ‘gevoelig’ vinden (salarisgegevens, beoordelingen van het functioneren van mensen).

 

Soms komen we organisaties tegen die tussen de 20 en 150 verwerkingen hebben. En voor sommige organisaties (bijvoorbeeld in de zorg, farmacie, zorgverzekeraars, gemeenten) betekent dit dat in veel van deze verwerkingen ook (gevoelige of bijzondere) persoonsgegevens worden verwerkt die ‘DPIA waardig’ zijn. Moet je dan ook voor al deze verwerkingen een DPIA doen? Ja!

Andere organisaties verwerken hebben nauwelijks verwerkingen die voorkomen op de lijsten voor verplichte DPIA’s. Die zullen dan ook zelden of nooit een DPIA uitvoeren.

 

3. Kan je een DPIA uitvoeren op een systeem?

 

Ja, maar of het nuttig is..  Moet je een DPIA uitvoeren op een proces of op een systeem. Het heeft de voorkeur om een DPIA uit te voeren op een proces en daarbij ook te kijken naar de gebruikte systemen, aldus Frank van Vonderen. Maar is het mogelijk om een DPIA uit te voeren op alleen een systeem? Dat kan wel, maar je moet je afvragen of dit wel zo zinvol is. Daarbij geldt wel: je hebt systemen en systemen.

Even wat voorbeelden: kan je een DPIA uitvoeren op een generiek systeem zoals Office 365 of een Document Management Systeem of CRM systeem? Het kenmerk van deze systemen is dat de gebruiker zelf volledig kan bepalen welke gegevens worden verwerkt. Bij dergelijke systemen kan je wel een DPIA uitvoeren, maar word je erg beperkt in het beantwoorden van vragen rondom doelbinding / grondslag, juistheid, minimalisatie en transparantie. Het systeem weet immers niet wat voor gegevens de gebruiker erin zet, waarvoor en waarom. In dat geval kan je de DPIA niet volledig uitvoeren en kan je hoogstens een deel van de beveiligingsaspecten en opslag aspecten evalueren.

Copy of Template banners training

Een DPIA op een systeem heeft meer nut als je de DPIA uitvoert op een systeem met een specifieker doel. Denk hierbij aan een pakket voor de salarisadministratie, een Client Volg Systeem of een systeem waarmee de beveiligingscamera’s worden bediend. In die gevallen weet je beter waarvoor het systeem wordt gebruikt en wat de specifieke gebruikskenmerken en –beperkingen zijn. Maar het feit dat je een systeem voor het bekijken van camerabeelden betekent niet dat je de grondslag op orde hebt, de camera’s goed zijn ingesteld en dat de wettelijke bewaartermijnen voor de beelden automatisch worden gerespecteerd.

 

4. Hoeveel tijd kost een DPIA?

Een beetje serieuze DPIA kost in mijn ervaring gemiddeld 3 tot 4 dagen van de opsteller van de DPIA: het doorlopen van de Uitgelichte afbeelding kiezen relevante vragen, het verzamelen van de juiste informatie, de zorgvuldige vastlegging én de toelichting op het resultaat.

Voor DPIA’s waar je een paar keer moet terugkomen is 5-8 dagen een realistische inschatting.

Bij DPIA’s waarbij je moet voorzien in een rapportage die bedoeld is voor openbare publicatie (met name in het publieke domein), kost het DPIA makkelijk tientallen dagen om een DPIA op te stellen.

 

5. Kan je DPIA’s automatiseren?

Liever niet. Er zijn verschillende tools en spreadsheets op de markt die DPIA’s automatiseren. Dit doen ze door aan de hand van een standaard vragenlijst ook standaard maatregelen voor te stellen. 

Waarom het niet kan: er bestaat geen lineaire relatie tussen de vragen die je in een DPIA stelt (bijvoorbeeld op basis van het NOREA model of het model van de Rijksdienst) en de maatregelen die je zou moeten treffen. Door te automatiseren beschouw je een DPIA als eenheidsworst en kom je met een standaard set aan maatregelen. Dit werkt niet. Daar waar bij de ene situatie een bepaalde maatregel effectief is, hoeft dit in andere situaties helemaal niet zo te zijn.

Waarom moet je het niet willen: als privacy officer of FG moet je in gesprek zijn met de organisatie. Daarvoor heb je vanuit de AVG twee krachtige instrumenten: Privacy by Design en de DPIA. Aan de hand van beide kan je met je organisatie in gesprek over hoe zij hun processen en systemen privacy vriendelijk zouden kunnen inrichten. Door het automatiseren raak je dat contactmoment kwijt. En dat is toch zonde?

Binnen het DPIA proces zijn er wel een paar zaken die je kunt automatiseren, maar dat geldt vooral als je er veel moet doen, de resultaten moet consolideren en als je de vervolgacties wilt volgen. Maar automatiseer dan alleen het verantwoordingsdeel van de DPIA. En niet de uitvoering, waarbij je in gesprek bent met je organisatie.

 

Gladwell & VKA geven trainingen om DPIA's onder de knie te krijgen

 

Tot slot zit je nu misschien nog met één vraag: hoe kan ik leren om een DPIA te doen? Dat vraagt iets meer werk, maar daar kunnen wij bij helpen. Gladwell academy faciliteert de opleiding 'Praktijkopleiding Uitvoeren DPIA's' gegeven door Frank van Vonderen. 

Meer informatie over praktijkopleiding uitvoeren DPIA's 

 

Dit artikel is geschreven door Frank van Vonderen van onze partner Verdonck, Klooster & Associates. 

Bron:  https://www.vka.nl/publicaties/de-vijf-meest-gestelde-vragen-over-dpias/

 

BLEIB INFORMIERT

Abonniere unseren Newsletter

BLIJF GEÏNFORMEERD

Abonneer op onze nieuwsbrief