Bijna een jaar AVG. Komende tijd nemen we je mee in de lessen die wij geleerd hebben in dat eerste half jaar. De eerste les gaat over de DPIA, Data Protection Impact Assessment. Oftewel de verplichte risico- en informatie-analyse. De verplichting om deze uit te voeren heeft voor diverse hoofdbrekens gezorgd. Wij hebben een begrijpelijk DPIA-model ontwikkeld en deze inmiddels met succes al bij diverse zorginstellingen, gemeenten en onderwijsinstellingen in de praktijk toegepast. Ontdek de randvoorwaarden en tips bij het uitvoeren van een DPIA.
Wat zien we in de praktijk gebeuren?
- De DPIA is veelal een papieren exercitie. De DPIA-modellen die er zijn nodigen niet uit tot het samen nadenken over risico’s en maatregelen die zijn of worden getroffen.
- Het bepalen van de scope van de DPIA is een grote uitdaging. Soms wordt een te brede scope gekozen, maar ook regelmatig wordt de scope te nauw gedefinieerd.
- De DPIA wordt vaak een feestje van de ICT-afdeling of Juridische Zaken. Dit geeft een te eenzijdige blik over de inhoud en vervolgacties. Deze eenzijdige benadering zorgt ervoor dat de acties vaak beperkt geborgd worden door gebrek aan herkenning in de organisatie.
- De governancestructuur rond Privacybescherming en Informatieveiligheid (en daarmee DPIA’s) ontbreekt. Resultaten komen daardoor niet tot hun recht en leiden nauwelijks tot de benodigde uitvoering.
- Zeer lange ontwerp- en ‘nadenk’-fases (het invullen van DPIA’s), die zelden leiden tot het daadwerkelijk implementeren van maatregelen.
- Krampachtig de AVG benaderen (zie artikel ‘Wat is nou de bedoeling van die AVG’). ‘We doen wel een DPIA op alles, dan zitten we altijd goed’. Dit levert een stortvloed aan extra werkzaamheden op en vraagt veel tijd van de organisatie, waardoor er uiteindelijk weinig welwillendheid bij medewerkers is om vervolgacties uit te voeren.
Oke. Maar wat moeten we dan precies doen?
DPIA’s zijn nieuw. Dat het dus even duurt voordat we het in de vingers hebben is niet raar. Daarnaast is de manier waarop een DPIA werkt net zo organisatie-specifiek als de verwerkingen die je uitvoert. We zagen dat organisaties vastliepen met de bestaande DPIA-modellen doordat:
- er weinig ruimte was voor organisatie-specifieke invulling;
- de risico’s en maatregelen werden onvoldoende concreet gemaakt.
De oplossing
We hebben daarom een DPIA-model ontwikkeld dat structuur brengt in de wettelijke vereisten maar vooral ook uitnodigt om hier pragmatisch en effectief mee aan de slag te gaan. Ook hebben we een aantal tips om bovenstaande knelpunten aan te pakken. Ons stappenplan geeft op hoofdlijnen aan welke activiteiten je tenminste moet uitvoeren. Hoe je dit stappenplan invult bepaal je als organisatie zelf. Binnenkort delen we een set sjablonen die voor elk van de stappen meer richting geeft. Technisch gezien ben je klaar met de DPIA als je de situatie hebt beschreven en maatregelen hebt vastgesteld die je wil gaan doorvoeren. Maar dan ben je er nog niet. In het daadwerkelijk uitvoeren van deze maatregelen gaat ook veel werk zitten. Dit is daarom ook expliciet onderdeel van ons DPIA-model.
Ben ik compliant als ik jullie model volg?
Ja. Ons model is een volledig gebaseerd op de AVG en de opinie van de WP29[1] op de uitvoering van DPIA’s en hebben we extern laten toetsen op compliancy. We zijn er echter van overtuigd dat compliancy in dit geval bijvangst is. Uiteindelijk is ons model er op gericht om structureel de bescherming van persoonsgegevens te verbeteren. Ben je enkel uit op compliance, dan zijn er minder confronterende modellen die je daarbij kunnen helpen.
Waar begin ik?
Randvoorwaarden goede DPIA
Voor de uitvoering van een goede DPIA zien we de volgende randvoorwaarden:
- Verwerkingsregister. Je verwerkingsregister levert input voor je DPIA en helpt je met het vaststellen van de scope. Een deel van de verplichte items uit de AVG die in een DPIA moeten zitten, zijn zaken die je in je verwerkingsregister vastlegt. Zorg dat deze op orde is voor je begint.
- Intern draagvlak. Uitvoering van een DPIA kan leiden tot inzicht in grote risico’s. Zonder draagvlak kan uitvoering van maatregelen stranden. Betrek voor de uitvoering van de DPIA diverse rollen en afdelingen die relevant zijn voor de verwerking en de eventueel te nemen maatregelen.
- Prioriteer. Zelfs met voldoende draagvlak, kan je niet alle DPIA’s tegelijkertijd uitvoeren. Bepaal daarom gezamenlijk welke 1 of 2 DPIA’s het meest urgent zijn en start daar. Dit kun je bepalen a.d.h.v. je verwerkingsregister, waaruit naar voren komt welke systemen het meest gevoelig/belangrijk zijn.
- Scope. Bepaal de scope van DPIA’s die je uit wilt voeren vooraf. Spreek duidelijk de grenzen van een verwerking af. Wij adviseren DPIA’s uit te voeren op processen. Processen kunnen meerdere verwerkingen omvatten. En geven vaak het meest volledig inzicht in de verwerking van gegevens binnen een organisatie.
- Voldoende input van de werkvloer. Een DPIA voegt wat ons betreft pas echt wat toe als je voldoende input van de werkvloer krijgt, mensen die dagelijks uitvoeren. Zo zijn je risico’s reëel en sluiten je maatregelen beter aan op de dagelijkse praktijk.
Tips voor de uitvoering van een DPIA
Probeer bovenstaande randvoorwaarden zo goed mogelijk afgedekt te hebben voordat je begint met de uitvoering van een DPIA. Ga je aan de slag, dan hebben we nog een paar tips voor de uitvoering.
- Sluit af. Plan bij de start van een DPIA een opleveringsgesprek. Door de aard van een DPIA ontstaat het risico om deze continu bij- en af te stellen. Door het opleveringsgesprek te plannen bij de start is er een duidelijk moment om de laatste versie vast te stellen.
- De FG. De FG heeft geen lijnverantwoordelijkheid. Positioneer de FG dan ook om toezicht te kunnen houden en inhoudelijk te kunnen adviseren waar gewenst. In ons model staat aangegeven wanneer de FG betrokken wordt. Adviezen van de FG hoeven niet in de inhoud van het rapport overgenomen te worden, maar kunnen ook als aanvullingen in een apart hoofdstuk mee naar de verantwoordelijke.
- Laat de DPIA niet kapen. De afdelingen als ICT en Juridische Zaken zijn essentieel bij de DPIA, ze bieden inhoudelijke kennis en ervaring met de processen vanuit een ander perspectief. Maar waak er wel voor dat deze afdelingen de DPIA niet overnemen en in gesprekken voldoende ruimte laten voor input van de werkvloer.
- Wees volledig. Door de DPIA-rapportage volledig te maken, leg je een goed fundament voor de toekomst. Zo kun je jaarlijks reviewen of deze nog actueel en accuraat is en op het moment dat er wijzigingen aan de verwerking doorgevoerd gaan worden. Op deze wijze kun je op de eerdere basis voortborduren en de verschillen beoordelen in de nieuwe situatie. Grote kans dat je DPIA niet geheel opnieuw hoeft uit te voeren maar (delen van) de eerdere analyse kunt hergebruiken.
- Evalueer en stel bij. Evalueer de aanpak en uitkomsten op een overstijgend niveau. Behaal je als organisatie met DPIA’s wat je er van verwacht door ze op deze manier uit te voeren? Stel je aanpak periodiek bij om DPIA’s door te ontwikkelen tot een gereedschap dat toegevoegde waarde creëert voor de organisatie.
Tot slot
De uitvoering van DPIA’s blijft een complexe activiteit. Het belangrijkste is om vooral aan de slag te gaan. Voer uit, stel bij en ga met elkaar in gesprek. Wat ons betreft is de bedoeling achter DPIA’s duidelijk: krijg inzicht in je verwerking en bijbehorende risico’s en verbeter de bescherming van persoonsgegevens door hierop te acteren.
Download hieronder ons DPIA-model! Mocht je vragen of opmerkingen hebben of een keer willen sparren over ons DPIA-model en onze visie op de verplichte risico- en informatie-analyse? Neem contact op met Tobias!
Terug naar het overzicht
