Snel naar content
mensen in een openbare ruimte zoals bijvoorbeeld een station vanaf boven gezien

Alles over het Data Protection Impact Assessment (DPIA)

Wil je persoonsgegevens verwerken en is de kans groot dat die verwerking een hoog risico heeft voor de privacy van de betrokkenen? Dan moet je een DPIA uitvoeren. De AVG is daar duidelijk over. Maar wat is een DPIA precies?

Inhoudsopgave:

Wat is een DPIA?

DPIA staat voor Data Protection Impact Assessment. In het Nederlands vertaald: ‘gegevensbeschermingseffectbeoordeling’ (GEB). Vaak wordt echter de term PIA gebruikt, die nog uit de Wet Bescherming Persoonsgegevens stamt.

Een DPIA geeft inzicht in de privacyrisico’s die een gegevensverwerking oplevert. Maar ook in de maatregelen die de verantwoordelijke moet nemen om deze risico’s te voorkomen of minimaliseren en te beheersen. Het is dus geen audit of quick scan van een complete organisatie, maar een instrument om vooraf de risico’s van een specifieke verwerking in kaart te brengen.

Na het uitvoeren van een DPIA weet je:

  • welke persoonsgegevens je verwerkt;
  • welke beschermende maatregelen je al hebt genomen;
  • wat de impact is op zowel de betrokkenen als de organisatie;
  • welke verbeteringen je kunt doorvoeren.

Waarom een Data Protection Impact Assessment?

Een DPIA voer je dus uit om de risico’s voor de betrokkenen inzichtelijk te maken, zodat je die kunt minimaliseren. Je moet de impact van de verwerking, het proces of de wijziging voor de betrokkene beoordelen. Op basis daarvan kun je bepalen waar de organisatie maatregelen moet treffen om de privacy te waarborgen. Zo voldoe je meteen aan enkele belangrijke principes die voortvloeien uit de AVG.

Een DPIA is daarmee niet een trucje om als organisatie compliant te worden. Anderzijds is het natuurlijk wel zo dat je op basis van de uitkomsten ervan jouw organisatie kunt verbeteren. Toch is het belangrijk om oorzaak en gevolg uit elkaar te houden. Al was het maar omdat je als verwerkingsverantwoordelijke door de AVG verplicht bent om privacy by design in te richten in jouw organisatie. DPIA’s kunnen daarbij helpen door bij het ontwerp van processen, projecten en verwerkingen de privacy risico’s inzichtelijk te maken.

In de praktijk geef ik duiding en advies door me vooral te richten op wat er wel kan. Bij sommige collega’s kan de privacywetgeving niet altijd op begrip rekenen. Dan vraag ik ze om zich in de betreffende persoon of diens naasten te verplaatsen. Hoe zouden zij er dan tegenaan kijken? De burger, de cliënt, daar doe je het immers voor! Deze aanpak zorgt voor begrip en onderstreept het doel van de privacywetgeving.

Hans Over de Vest, Functionaris Gegevensbescherming gemeente Maassluis

Na afloop van het uitvoeren van de Data Protection Impact Assessment heb je antwoord op onder andere onderstaande vragen:

  • Wat houdt het project precies in?
  • Wat is de maatschappelijke context?
  • Om wiens gegevens gaat het?
  • Welke gegevens zijn dat?
  • Wat zijn de voorgenomen verwerkingen en verwerkingsdoeleinden?
  • Welke systemen worden hiervoor gebruikt?
  • Hoe worden gegevens tussen de systemen uitgewisseld?
  • Waarvoor worden de gegevens gebruikt?

Wanneer voer je een DPIA uit?

Er zijn veel situaties waarin je een DPIA moet uitvoeren. Als je beschikbare persoonsgegevens voor andere doeleinden wilt gaan gebruiken, bijvoorbeeld. Of een samenwerking aangaat waarbij privacygevoelige gegevens worden gedeeld. Of een nieuwe technologie gaat gebruiken of van IT-leverancier verandert. Je moet dus continu blijven monitoren of de gegevensverwerking verandert. Zodra dat het geval is, moet je een DPIA uitvoeren.

Een DPIA is in elk geval verplicht als de organisatie uitvoerig en systematisch persoonlijke gegevens beoordeelt, zoals bijvoorbeeld beroepsprestaties, persoonlijke voorkeuren, gezondheid of gedrag. Of als de organisatie op grote schaal bijzondere gegevens van personen verwerkt of mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld door middel van cameratoezicht.

‘Een DPIA moet natuurlijk worden uitgevoerd als er nieuwe processen komen of grote wijzigingen zijn. Maar ook reguliere processen moet je regelmatig tegen het licht houden. Als Functionaris Gegevensbescherming ben je de interne toezichthouder van jouw organisatie. Je signaleert, communiceert je bevindingen en controleert of de juiste acties zijn ondernomen. De verantwoordelijkheid voor het uitvoeren van een DPIA ligt echter niet bij jou, maar bij de procesmanagers. Uiteindelijk moet de organisatie het doen, niet de Functionaris Gegevensbescherming.’

Peter van Dam, Controller en Functionaris Gegevensbescherming gemeente Oldambt

Voorbeelden van een DPIA

We geven nog wat voorbeelden. Online vergaderen via Microsoft Teams of Google Meet, bijvoorbeeld. Want hoe gaan deze bedrijven om met de gegevens die ze verwerken? Wat gebeurt er met de persoonsgegevens van degenen die deelnemen aan de vergadering? Worden die opgeslagen of niet?

Of stel je een situatie voor waarin er een nieuwe partij aansluit bij een casusoverleg. Dan moet je een analyse uitvoeren en de risico’s benoemen. Hoe zorg je ervoor dat er niet nodeloos kopieën worden gemaakt die kunnen gaan rondzwerven? En dat het rapport niet op een bureau blijft liggen of openstaat op een computer als de behandelaar even weg is van zijn werkplek?

Wie voert een Data Protection Impact Assessment uit?

Meestal heb je hulp van anderen nodig bij het uitvoeren van een DPIA. Dit kan de Privacy Officer (PO) zijn, de proceseigenaar, de ICT-manager, de Functionaris Gegevensbescherming (FG) of de Chief Information Security Officer (CISO). Maar bijvoorbeeld ook een vertegenwoordiger van een leverancier. Afhankelijk van de situatie bepaal je met wie je om tafel gaat. Dat hoeven dus niet alle genoemde functionarissen te zijn.

Het is van groot belang om alle relevante informatie op voorhand te verzamelen én te delen met alle betrokkenen. Alleen zo kun je in het overleg de antwoorden vinden die je zoekt. Je gesprekspartners moeten zich natuurlijk ook goed inlezen, anders is de kans groot dat sommige antwoorden alsnog uitblijven, terwijl de onderliggende stukken wel voldoende informatie bevatten.

Bewustzijn creëren met een DPIA

Pas als je op de hoogte bent van de ontwikkelingen in je organisatie, kun je bepalen of een DPIA nodig of wenselijk is. Als Functionaris Gegevensbescherming (FG) of Privacy Officer (PO) moet je daarom van begin af aan betrokken worden bij ontwikkelingen zoals de aanschaf of inrichting van nieuwe systemen, projecten en processen. De organisatie moet jou voeden met informatie zodat jij kunt bepalen of het uitvoeren van een DPIA nodig is.

Je hebt als FG of PO dus de belangrijke taak om bewustzijn te creëren in jouw organisatie over het nut en noodzaak van het uitvoeren van DPIA’s. Niet alleen bij het management, maar in de hele organisatie. Zorg er bijvoorbeeld ook voor dat je aan de voorkant van de inkoopprocessen zit zodat je jullie inkoper goed op de hoogte kunt brengen van de randvoorwaarden voor de processen rondom privacy.

Je hebt als FG of PO dus de belangrijke taak om bewustzijn te creëren in jouw organisatie over het nut en noodzaak van het uitvoeren van DPIA’s.

Verder moet je goede afspraken maken en controleren of de betrokkenen die nakomen. Dat geldt niet alleen voor verwerkersovereenkomsten met techbedrijven, maar ook voor andere partners die gegevens kunnen inzien en natuurlijk voor collega’s onderling.

‘Zeker in jongere organisaties is het vaak lastig om tot actie over te gaan en DPIA’s uit te voeren. Vaak wordt je als FG te laat betrokken bij voorgenomen veranderingen. Dit kun je verbeteren door bestuur, management en proceseigenaren bewust te maken van de noodzaak van DPIA’s. Daarbij helpt het als een onafhankelijke partij onderzoek doet en de organisatie confronteert met de bevindingen.’

Annerine Blufpand, Functionaris Gegevensbescherming HLTsamen.

Hoe voer je een DPIA uit?

Gebruik de checklist via onderstaand formulier om te bepalen of je verplicht bent om een DPIA uit te voeren.  In LIAS ISMS van Inergy vind je ook de eisen waaraan een DPIA moet voldoen en een beschrijving van het proces en die van de rol van de Functionaris Gegevensbescherming ontbreken niet in LiAS ISMS.

Ook laat LIAS ISMS zien waar de organisatie staat en waar de risico’s liggen. In de risicomodule vind je een slimme DPIA-vragenlijst. Die doorloop je in een sessie waarbij de proceseigenaar (en soms ook de leverancier) betrokken is. Op basis van de antwoorden krijg je direct een indicatie van de mogelijke bedreigingen met suggesties voor maatregelen die je moet treffen binnen de verschillende normenkaders.

Groot voordeel hiervan is dat je dit niet meer zelf hoeft uit te zoeken en je direct inzicht hebt in de status van die maatregelen. Dit helpt enorm bij het inschatten van de vraag of deze bedreigingen ook daadwerkelijk een risico vormen voor de betrokkene en de organisatie.

Binnen het systeem kun je namelijk een gap-analyse uitvoeren die laat zien in welke mate de organisatie al compliant is en welke maatregelen je nog moet treffen om aan alle regels te voldoen. Deze kun je deze weer vertalen naar taken die je uitzet naar de verantwoordelijken.

Binnen LIAS ISMS geef je zelf aan wat de status van de maatregelen is en koppel je hier bewijslast aan. Dat helpt enerzijds bij het beperken van de risico’s en vereenvoudigt daarnaast het doorlopen van audits.

Aan de slag met de resultaten van de DPIA

Zodra je de juiste informatie voor een Data Protection Impact Assessment (DPIA) hebt verzameld, is het tijd om met de resultaten aan de slag te gaan. Hoe interpreteer je die precies? Wat is de impact van de risico’s die je hebt ontdekt en welke maatregelen stem je af met de verantwoordelijke?

DPIA-vragenlijst

Zodra je over alle informatie beschikt, ga je aan de hand van een DPIA-vragenlijst op zoek naar antwoorden op de vragen, zodat je de risico’s in beeld krijgt. Soms kun je dat alleen, vaak doe je dat samen met de proceseigenaar of in een team. Er zijn meerdere modellen beschikbaar van dergelijke lijsten. Een bekende is de NOREA-vragenlijst. Ook de Rijksoverheid en de Franse toezichthouder hebben templates ontwikkeld.

Als je tijdens en na de gesprekken de antwoorden heb gevonden op de vragen van de lijst, heb je de basis gelegd en de belangrijkste privacy risico’s in kaart gebracht. Nu kun je verder door de impact ervan te beoordelen en passende maatregelen te bedenken. Dat alles leg je vast in een rapportage met daarin opgenomen een advies van de FG voor de verwerkingsverantwoordelijken.

Lees ook: Kies je voor een Functionaris Gegevensbeheer of een Data Protection Officer?

Wettelijke vereisten van een Data Protection Impact Assessment

Hoewel de wet niet voorschrijft welke methode je moet gebruiken, is er wel een aantal vereisten waaraan een DPIA moet voldoen. In praktijk betekent dit dat de rapportage de volgende onderdelen moet bevatten:

  1. Een systematische beschrijving van de beoogde verwerkingen met betrekking tot de doeleinden.
  2. Een beoordeling van de verwerkingen: wat is de noodzaak ten opzichte van de doeleinden en hoe verhouden deze zich tot elkaar?
  3. Een beoordeling van de risico’s voor de rechten en vrijheden van de betrokkenen.
  4. De beoogde maatregelen om die risico’s aan te pakken.

Voordelen van een GRC-tool

Een Governance, Risk & Compliance (GRC)-tool biedt in dit traject veel voordelen. LIAS ISMS maakt het doorlopen van de genoemde stappen namelijk eenvoudig. Nadat de organisatie een dreigingsanalyse heeft uitgevoerd, geeft LIAS ISMS je inzicht in de maatregelen die je moet treffen om bedreigingen af te dekken. Hierdoor krijg je direct inzicht in de acties die de organisatie nog moet ondernemen om de kans op een incident te minimaliseren. Hoe meer maatregelen je neemt, hoe kleiner de kans dat er een ongewenste gebeurtenis plaatsvindt. Zo verlaag je dus het risico voor de belanghebbenden én de organisatie.

Hoe meer maatregelen je neemt, hoe kleiner de kans dat er een ongewenste gebeurtenis plaatsvindt. Zo verlaag je dus het risico voor de belanghebbenden én de organisatie.

LIAS ISMS  maakt gebruik van de NOREA-vragenlijst. Die keuze hangt samen met het gebruik van het Privacy Control Framework. Binnen dit normenkader zijn de beheersmaatregelen heel specifiek beschreven, waardoor het een heldere vertaling van de wetgeving is. Met andere woorden: door te kiezen voor een tool zoals LIAS ISMS ben je ervan verzekerd dat je aansluit op dat wat de wet vraagt.

Binnen LIAS ISMS kan je ook gebruik maken van de AVG-project quickscan waarmee je eenvoudig een beperkte DPIA kunt uitvoeren. Dat doe je bijvoorbeeld om een inschatting te maken als je een pilot of project start. Met de uitkomsten van de quickscan kun je alvast de eerste zaken aanpakken en daarmee dus voldoen aan de eis van privacy by design. Verder biedt LIAS ISMS diverse slimme vragenlijsten over – onder andere – wettelijke eisen inzake informatiebeveiliging, normenkaders, security baselines, toetsingskaders en Professional Judgement (ervaring).

Impact beoordelen en aanvullende maatregelen

Met het doorlopen van deze stappen heb je de DPIA uitgevoerd en dus alle bedreigingen in kaart gebracht. Nu is het tijd om de impact te beoordelen. Met de dreigingsanalyse van LIAS ISMS  kun je, zoals gezegd, snel inschatten hoe groot de kans is dat er gevaar bestaat voor de rechten en vrijheden van de betrokkenen. Dit gebeurt op basis van het soort gegevens dat wordt verwerkt en de maatregelen die al zijn genomen.

Waar nodig moet je aanvullende maatregelen treffen. Dat kan bijvoorbeeld betekenen dat je moet nagaan of alle verwerkingen wel noodzakelijk zijn. Anders dan bij veel andere tools toont LIAS ISMS bij bedreigingen al direct maatregelen die je kunt nemen. Deze zijn gebaseerd op de normenkaders. Ook houd je inzicht in de status van deze maatregelen. Uiteraard kan de organisatie ook besluiten om bepaalde risico’s te accepteren. In dat geval tref je geen verdere maatregelen.

Rapportage en akkoord

Uiteindelijk leg je alles vast in een rapport waarin de vier eerder genoemde vereisten duidelijk zijn verwoord. In deze rapportage vraag je verder een akkoord van de verwerkings- en budgetverantwoordelijke om de maatregelen door te voeren die je hebt voorgesteld. Uiteraard moet de organisatie de maatregelen vervolgens nog wel implementeren. De FG heeft ook hier een rol, namelijk door te controleren of dit gebeurt en door aansluitend te evalueren.

De budgetverantwoordelijke zijn vrij om het advies en de aanbevolen maatregelen naast zich neer te leggen. Daarmee accepteren ze wel de risico’s. Deze verantwoordelijkheid ligt niet bij jou of andere medewerkers. Uiteraard benoem je deze beslissing wel in je verslag.

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Dé valkuilen en tips voor de gemeentelijke ENSIA-audit

Dé valkuilen en tips voor de gemeentelijke ENSIA-audit

Een audit goed voorbereiden? Logisch dat je daar vragen over hebt. Zoals wij kijken naar de ENSIA-audit is het vooral...

Lees verder

Een dag uit het leven van Arjan van Honk, senior BI Developer bij Inergy

Een dag uit het leven van Arjan van Honk, senior BI Developer bij Inergy

Bij Inergy werken ruim 160 collega’s. Hoe zien hun werkdagen eruit? Deze keer geeft Arjan van Honk, Senior BI Developer/Consultant bij Inergy, een kijkje in zijn werkdag. Een BI-developer is iemand die verantwoordelijk is voor het bouwen en onderhouden van data-oplossingen van onze klanten. Lees over zijn dynamische werkdag in Barcelona in deze blog!

Lees verder

Onze kijk op informatiebeveiliging in 2023

Onze kijk op informatiebeveiliging in 2023

Onze auditors doen honderden audits per jaar. Het valt op ons dat een aantal vragen vaak gesteld worden. Of het nu gaat een ENSIA, WPG, SUWI, VIPP of DIGID Audit. Een aantal zaken zetten we graag voor je op een rijtje omdat jij dit ook wil weten.

Lees verder