Tips voor een data protection impact assessment (DPIA)

07 oktober 2019 Consultancy.nl

Organisaties zijn in bepaalde gevallen verplicht om een zogeheten ‘data protection impact assessment’ (DPIA) uit te voeren. Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Met de inzichten uit een DPIA kunnen organisaties de juiste maatregelen treffen om de risico’s te verkleinen.

Wanneer een voorgenomen gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert is een DPIA verplicht onder de Algemene verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg). In de praktijk wordt een DPIA echter ook vrijwillig uitgevoerd om het zekere voor het onzekere te nemen. Het schaden van privacy wordt namelijk gezien als een groot incident, en kan leiden tot reputatieschade en grote financiële gevolgen.

Friso Spinhoven, consultant bij IT-adviesbureau Hot ITem, is gespecialiseerd in privacyvraagstukken. Hij benadrukt dat het uitvoeren van een data protection impact assessment niet alleen gaat om het eenmalig invullen van een vragenlijst, om het onderwerp vervolgens te laten varen. “Wees waakzaam voor valkuilen”, zo waarschuwt hij. Op basis van zijn praktijkervaring, geeft hij enkele tips waar rekening mee gehouden dient te worden om een succesvolle DPIA te kunnen doen.

Tips voor een data protection impact assessment (DPIA)

Scope bepalen

Om te beginnen moeten organisaties bij het opdracht geven tot een DPIA een duidelijke scope bepalen voor de opdracht, en deze zorgvuldig bewaken. Hierbij moet onder andere worden aangegeven op welk deel van de bedrijfsprocessen de DPIA betrekking dient te hebben. Zonder helder gedefinieerde scope bestaat het risico op gaten, waarschuwt Spinhoven: “De DPIA gaat dan niet in op alle relevante privacyrisico’s en is dus niet volledig. Zorg voor een zorgvuldige afbakening van de scope en controleer of degenen die de DPIA uitvoeren zich hieraan houden.”

De juiste timing

Daarnaast is de timing van de DPIA belangrijk, legt Spinhoven uit. Bij een te vroege DPIA is de verwerking nog onvoldoende uitgewerkt. In dat geval kan een DPIA te algemeen worden ingezet en biedt deze te weinig houvast, legt Spinhoven uit: “Daardoor kun je niet goed bepalen welke maatregelen je moet treffen om de risico’s te beperken.”

Een te late DPIA is ook niet de bedoeling, dan bestaat de kans dat relevante processen reeds zijn ingericht, waarbij er dan aanpassingen achteraf nodig zijn. “Start bij voorkeur aan het begin van de ontwerpfase, als je nog bezig bent met het inrichten van de processen, maar het concrete doel al wel bekend is”, adviseert Spinhoven. Hierbij is het belangrijk dat men bepaalt wat men met de persoonsgegevens precies wil bereiken en hoe.

In dat kader legt Spinhoven uit hoe het soms nodig is om een DPIA in twee fases op te delen. Allereerst door te starten met een voorlopige, wat algemenere DPIA, die nog niet compleet is maar wel al richting geeft in de te implementeren maatregelen. Spinhoven: “Door vroeg te beginnen, is het bovendien eenvoudiger om aan de wettelijk vereiste principes van privacy by design en privacy by default te voldoen.” En later wordt de DPIA vervolgens uitgebreid, wanneer verdere details bekend zijn.

Focus op de inhoud, maar niet in detail

De inhoud is weliswaar zeer belangrijk, maar een DPIA moet men ook weer niet te gedetailleerd aanvliegen, waarschuwt Spinhoven: “De DPIA moet zorgen voor concrete acties, dus het opgestelde document moet hanteerbaar zijn”, vooral ook voor de mensen die de uiteindelijke maatregelen dienen te implementeren, aangezien dat meestal geen experts in privacy zijn.

“De business moet de verantwoordelijkheid voor privacy-compliance uiteindelijk zelf nemen en ook voelen.”
– Friso Spinhoven, Hot ITem

Verantwoordelijkheid vanuit de business

Ten vierde pleit Spinhoven ervoor dat de ‘business’ verantwoordelijk is voor de daadwerkelijke uitvoering van een DPIA, want dat is immers de plek waar de persoonsgegevens verwerkt zullen worden. Spinhoven: “De business moet de verantwoordelijkheid voor privacy-compliance immers uiteindelijk zelf nemen en ook voelen.” Deze kan bovendien zelf het beste oordelen hoe de geïdentificeerde risico’s geminimaliseerd kunnen worden, zonder dat dit een negatieve impact heeft op de bedrijfsvoering.

Spinhoven onderstreept hoe iedere opgestelde maatregel ten gunste van privacybescherming mogelijk de bedrijfsvoering complexer maakt. “Laat de business dus zelf de optimale balans bepalen tussen het beperken van privacyrisico’s enerzijds en het kunnen doen van het werk anderzijds”, luidt het advies van de Hot ITem-consultant.

Het vinden van “de juiste balans” vormt hierbij de sleutel, vervolgt Spinhoven. Aan de ene kant moet de verantwoordelijkheid voor privacy dusdanig hoog in de organisatie liggen dat het management wezenlijke invloed heeft op de manier van werken, maar ook weer niet te hoog, waardoor onvoldoende direct contact met de werkvloer ontstaat.

Review periodiek

Tot slot onderstreept de adviseur het belang van periodieke beoordelingen bij een DPIA-traject. Volgens Spinhoven is een risicobeoordeling “geen statisch gegeven of een eenmalige activiteit”, maar verdient deze regelmatig aandacht. Hij besluit: “Het is een continu proces. De Autoriteit Persoonsgegevens geeft als vuistregel dat je, afhankelijk van de gevonden privacyrisico’s, eens in de drie jaar opnieuw dient te beoordelen of de gevonden risico’s nog actueel zijn, en de getroffen maatregelen effectief.”


Profiel

Meer nieuws over

×
×
A.T. Kearney Accenture ACE Company Adaptif Adlasz Adviesgroep Novius AevesBenefit Anderson MacGyver Andersson Elffers Felix Annalise Arlande Arthur D. Little AT Osborne Atos Consulting Bain & Company Baker Tilly BCG Platinion BDO BearingPoint Berenschot Best Value Group Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Management Bolster Bostec Boston Consulting Group Bright & Company | People Strategy Buitenhuis Advies buro C5 Bvolve Capgemini Invent Centric Cmotions COMATCH Conclusion Connective Payments Count & Cooper De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting EY EY-Parthenon Finavista Finext First Consulting Flowant flowresulting FTE Groep FTE Improvery Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hermes | Partners Hospitality Group Hot ITem House of Performance IG&H Improven InContext innergo INNOPAY Intermedius ITDS Business Consultants Itility JBR JBR Interim Executives Kirkman Company Korn Ferry KplusV KPMG KPN ICT Consulting Kruger Kurtosis KWINK groep Leeuwendaal M3 Consultancy Magnus Marktlink Mazars McKinsey & Company Mercer Merkle METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group Oliver Wyman OrangeX Ordina Organize Agile Oxyma p2 PA Consulting Group Paul Postma Marketing Consultancy PBLQ People Change PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quantics Quint Wellington Redwood Quintop Raad van Toekomst ResidentieProfs RGP Rijnconsult Roland Berger Salvéos Schaekel & Partners Schuberg Philis SeederDeBoer Sia Partners Significant Groep Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Strategy Development Partners Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron The Next Organization Trevian Turner TWST TwynstraGudde UMS Group UniPartners UPD Van Oers Corporate Finance Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Voogt Pijl & Partners Wielinq Willis Towers Watson WIN Yellowtail YGroup YNNO Young Advisory Group YourConnector Zanders Zestgroup