Wat is een Data Protection Impact Assessment?
Een Data Protection Impact Assessment (DPIA) is een instrument waarmee je vooraf de privacyrisico’s in kaart brengt van een verwerking van persoonsgegevens. Bijvoorbeeld bij de inzet van een nieuw algoritme of monitoring van je medewerkers.
Daarnaast onderzoek je hoe je die risico’s kunt wegnemen of verkleinen, en wat de resterende risico’s zijn. Zo kan een organisatie bewust besluiten of de gegevensverwerking wenselijk is.
Blijkt uit het assessment dat er waarschijnlijk een hoog privacyrisico is? Dan moet je met de Autoriteit Persoonsgegevens (AP) overleggen: een voorafgaande raadpleging. Blijkt uit het assessment dat de resterende risico’s niet zo hoog zijn? Dan is het aan de organisatie om te bepalen of & hoe er wordt gestart met de verwerking van persoonsgegevens.
En voor de fijnproever 😉: in het Nederlands heet een DPIA een gegevensbeschermingseffectbeoordeling.
Waarom voer je een DPIA uit?
Een DPIA is in bepaalde gevallen verplicht op grond van de Algemene verordening gegevensbescherming (AVG). Maar het assessment geeft ook veel inzicht voor de organisatie zelf. Je weet of je voldoet aan de AVG, wat de mogelijke risico’s zijn van een verwerking én welke maatregelen je kunt (of moet) nemen.
Daarnaast zien wij in de praktijk dat organisaties er vrijwel altijd informatie uithalen waar ze eerder nog niet over hadden nagedacht. Dankzij een DPIA kijk je met een andere blik naar een nieuwe tool of verwerking.
Zie het dus als een hulpmiddel dat ervoor zorgt dat wat je gaat doen, ook goed gedaan wordt. Het is een investering in de toekomst: je voorkomt eventuele klachten, mogelijke datalekken, reputatieschade en een discussie met de toezichthouder.
(Wanneer) is een DPIA verplicht?
Een DPIA is niet altijd verplicht. De AP heeft een lijst van soorten verwerkingen opgesteld waarbij je dit assessment moet doen. Bijvoorbeeld bij cameratoezicht, een grootschalige verwerking van gezondheidsgegevens en profilering.
Let op: die lijst is niet uitputtend. Staat de voorgenomen verwerking niet op de lijst? In dat geval moet je zelf beoordelen of de verwerking een hoog privacyrisico kan opleveren. Je kunt daarvoor de checklist van de Europese toezichthouders gebruiken.
Het is daarnaast verstandig om een DPIA te doen (ook al is het formeel niet verplicht) als het gaat om een nieuwe technologie waarvan je de gevolgen nog niet helemaal kunt overzien. Het is ook verplicht om het periodiek te herhalen, om risico’s in kaart te houden.
In welke gevallen voer je een DPIA uit?
Een DPIA kan verplicht zijn als het gaat om een nieuwe verwerking van persoonsgegevens. Als je bijvoorbeeld een nieuwe tool wilt inzetten, nieuwe marketingactiviteiten gaat ondernemen of cameratoezicht in het bedrijfspand wilt.
Het kan ook gaan om een aanpassing of wijziging. Denk aan persoonsgegevens die je voor een bepaald doel hebt en je wilt deze gegevens ook inzetten voor een ander doel. Of je wilt een bestaande tool wijzigen, waardoor mogelijk het privacyrisico verandert.
Hoe zet je een DPIA op?
Een DPIA voer je uit voordat de verwerking van de persoonsgegevens start. Begin er zo vroeg mogelijk mee zodat het assessment ‘meegroeit’ met het proces aan de tekentafel. Het voordeel is dat je tussentijds direct aanpassingen kunt doorvoeren als je tegen ongewenste risico’s aanloopt.
Tip: bewaar de verschillende versies van een DPIA gedurende het denk-/ontwerpproces. Zo kun je achteraf laten zien dat er goed over nagedacht is.
Je zet een DPIA op aan de hand van een model/template. Zorg dat binnen de organisatie hetzelfde format gebruikt wordt. Een DPIA bestaat uit de volgende onderdelen:
- Een vragenlijst die o.a. de beoogde gegevensverwerking en doeleinden uitvraagt.
- Een beoordeling van de privacyrisico’s. De wet schrijft niet voor hoe je die risico’s moet classificeren; vaak wordt er gekeken naar de kans x impact.
- Een overzicht van de beoogde maatregelen om de risico’s aan te pakken.
- Het advies van de eventuele functionaris gegevensbescherming (FG).
Let op: in veel modellen ontbreekt vaak het belangrijkste: de risico’s en de te nemen maatregelen. Wil je zeker weten dat je een goede template hebt? Neem dan contact met ons op.
Wie voert een DPIA uit?
De persoon (of afdeling) die binnen een organisatie verantwoordelijk is voor datgene waarvoor je een DPIA wilt uitvoeren, is verantwoordelijk dat het assessment plaatsvindt. Is er een functionaris gegevensbescherming (FG) of privacy officer? Dan moet hij of zij betrokken worden. Het is zelfs verplicht om advies aan de FG te vragen.
Is er geen FG of privacy officer? Dan is het heel verstandig om iemand met kennis van privacy aan te haken. (Wij steken nú onze hand op 😉) Want in de vragenlijst zitten ook juridische en kwalificatievragen.
Daarnaast is het slim om iemand met kennis van informatiebeveiliging (zoals een Chief Information Security Officer) te betrekken, omdat er bijna altijd security-aspecten zijn.
Tip: leg intern vast wanneer een DPIA moet worden uitgevoerd (dus: wat zijn de triggers waarbij je over een DPIA moet nadenken), wie daarvoor verantwoordelijk is, welke personen betrokken moeten worden en wat de procedure is.
Hoe lang duurt een DPIA?
Zoals we hiervoor schreven, is het verstandig om zo vroeg mogelijk te starten. Vaak volgt een DPIA het project en loopt het dus mee in de doorlooptijd van dit project.
In alle andere gevallen is een doorlooptijd van een paar weken realistisch. Het hangt er vooral vanaf of je alle antwoorden op de vragen hebt, of juist nog moet verzamelen. Daarnaast hangt het af van de beschikbaarheid van de betrokken medewerkers.
Weet je precies wat je gaat doen en is alle informatie beschikbaar? Dan kan een DPIA in een paar uur worden uitgevoerd.
Hulp nodig bij een DPIA?
Wij hebben de juridische kennis, de ervaring (in verschillende rollen; ook als FG) en de positieve insteek: wij kijken naar wat er wél kan. Bij een DPIA denken wij gedurende het ontwerpproces met jullie mee zodat we kunnen bijsturen waar nodig. Zo kunnen we samen direct zorgen voor alternatieven en mitigerende maatregelen.
Onze ondersteuning is afhankelijk van de behoefte en de kennis die er al is binnen de organisatie. Dat kan betekenen dat we onze DPIA-template delen inclusief uitleg, dat we jullie helpen om de template in te vullen, tot en met het volledig meedenken met een project waarbij we onderdeel zijn van het projectteam. Neem contact met ons op voor de mogelijkheden.