Tips voor een data protection impact assessment (DPIA)
Organisaties zijn in bepaalde gevallen verplicht om een zogeheten ‘data protection impact assessment’ (DPIA) uit te voeren. Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Met de inzichten uit een DPIA kunnen organisaties de juiste maatregelen treffen om de risico’s te verkleinen.
Wanneer een voorgenomen gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert is een DPIA verplicht onder de Algemene verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg). In de praktijk wordt een DPIA echter ook vrijwillig uitgevoerd om het zekere voor het onzekere te nemen. Het schaden van privacy wordt namelijk gezien als een groot incident, en kan leiden tot reputatieschade en grote financiële gevolgen.
Friso Spinhoven, consultant bij IT-adviesbureau Hot ITem, is gespecialiseerd in privacyvraagstukken. Hij benadrukt dat het uitvoeren van een data protection impact assessment niet alleen gaat om het eenmalig invullen van een vragenlijst, om het onderwerp vervolgens te laten varen. “Wees waakzaam voor valkuilen”, zo waarschuwt hij. Op basis van zijn praktijkervaring, geeft hij enkele tips waar rekening mee gehouden dient te worden om een succesvolle DPIA te kunnen doen.
Scope bepalen
Om te beginnen moeten organisaties bij het opdracht geven tot een DPIA een duidelijke scope bepalen voor de opdracht, en deze zorgvuldig bewaken. Hierbij moet onder andere worden aangegeven op welk deel van de bedrijfsprocessen de DPIA betrekking dient te hebben. Zonder helder gedefinieerde scope bestaat het risico op gaten, waarschuwt Spinhoven: “De DPIA gaat dan niet in op alle relevante privacyrisico’s en is dus niet volledig. Zorg voor een zorgvuldige afbakening van de scope en controleer of degenen die de DPIA uitvoeren zich hieraan houden.”
De juiste timing
Daarnaast is de timing van de DPIA belangrijk, legt Spinhoven uit. Bij een te vroege DPIA is de verwerking nog onvoldoende uitgewerkt. In dat geval kan een DPIA te algemeen worden ingezet en biedt deze te weinig houvast, legt Spinhoven uit: “Daardoor kun je niet goed bepalen welke maatregelen je moet treffen om de risico’s te beperken.”
Een te late DPIA is ook niet de bedoeling, dan bestaat de kans dat relevante processen reeds zijn ingericht, waarbij er dan aanpassingen achteraf nodig zijn. “Start bij voorkeur aan het begin van de ontwerpfase, als je nog bezig bent met het inrichten van de processen, maar het concrete doel al wel bekend is”, adviseert Spinhoven. Hierbij is het belangrijk dat men bepaalt wat men met de persoonsgegevens precies wil bereiken en hoe.
In dat kader legt Spinhoven uit hoe het soms nodig is om een DPIA in twee fases op te delen. Allereerst door te starten met een voorlopige, wat algemenere DPIA, die nog niet compleet is maar wel al richting geeft in de te implementeren maatregelen. Spinhoven: “Door vroeg te beginnen, is het bovendien eenvoudiger om aan de wettelijk vereiste principes van privacy by design en privacy by default te voldoen.” En later wordt de DPIA vervolgens uitgebreid, wanneer verdere details bekend zijn.
Focus op de inhoud, maar niet in detail
De inhoud is weliswaar zeer belangrijk, maar een DPIA moet men ook weer niet te gedetailleerd aanvliegen, waarschuwt Spinhoven: “De DPIA moet zorgen voor concrete acties, dus het opgestelde document moet hanteerbaar zijn”, vooral ook voor de mensen die de uiteindelijke maatregelen dienen te implementeren, aangezien dat meestal geen experts in privacy zijn.
“De business moet de verantwoordelijkheid voor privacy-compliance uiteindelijk zelf nemen en ook voelen.”
– Friso Spinhoven, Hot ITem
Verantwoordelijkheid vanuit de business
Ten vierde pleit Spinhoven ervoor dat de ‘business’ verantwoordelijk is voor de daadwerkelijke uitvoering van een DPIA, want dat is immers de plek waar de persoonsgegevens verwerkt zullen worden. Spinhoven: “De business moet de verantwoordelijkheid voor privacy-compliance immers uiteindelijk zelf nemen en ook voelen.” Deze kan bovendien zelf het beste oordelen hoe de geïdentificeerde risico’s geminimaliseerd kunnen worden, zonder dat dit een negatieve impact heeft op de bedrijfsvoering.
Spinhoven onderstreept hoe iedere opgestelde maatregel ten gunste van privacybescherming mogelijk de bedrijfsvoering complexer maakt. “Laat de business dus zelf de optimale balans bepalen tussen het beperken van privacyrisico’s enerzijds en het kunnen doen van het werk anderzijds”, luidt het advies van de Hot ITem-consultant.
Het vinden van “de juiste balans” vormt hierbij de sleutel, vervolgt Spinhoven. Aan de ene kant moet de verantwoordelijkheid voor privacy dusdanig hoog in de organisatie liggen dat het management wezenlijke invloed heeft op de manier van werken, maar ook weer niet te hoog, waardoor onvoldoende direct contact met de werkvloer ontstaat.
Review periodiek
Tot slot onderstreept de adviseur het belang van periodieke beoordelingen bij een DPIA-traject. Volgens Spinhoven is een risicobeoordeling “geen statisch gegeven of een eenmalige activiteit”, maar verdient deze regelmatig aandacht. Hij besluit: “Het is een continu proces. De Autoriteit Persoonsgegevens geeft als vuistregel dat je, afhankelijk van de gevonden privacyrisico’s, eens in de drie jaar opnieuw dient te beoordelen of de gevonden risico’s nog actueel zijn, en de getroffen maatregelen effectief.”
