Op verwerkingen met mogelijk hoge risico’s is het onder de AVG verplicht een DPIA uit te voeren. Een gesprek dat ik vaak met klanten voer is of een DPIA op een proces of een applicatie uitgevoerd zou moeten worden. De opvattingen verschillen hier per organisatie nogal over. Vanuit mijn werk heb ik vier argumenten om DPIA’s op procesniveau uit te voeren.
Voor ik de diepte in ga, schets ik even een globale situatie om een beeld te vormen. Dit is een zeer vereenvoudigde weergave van twee processen, twee applicaties, één klant, drie interne medewerkers en vier verschillende communicatiekanalen. Dit geeft een beeld van hoe processen, applicaties en gegevensstromen zich tot elkaar verhouden. Aan de hand van deze verhoudingen leg ik graag uit waarom ik DPIA’s bij voorkeur op processen doe.
Ten eerste vindt in veel situaties een (groot) deel van de verwerkingen van persoonsgegevens plaats buiten de applicaties. Dit is voor mij de belangrijkste reden om niet op applicatieniveau te kijken. Je loopt namelijk het risico dat alle verwerkingen die buiten en tussen applicaties plaatsvinden buiten scope worden gelaten, terwijl deze (vaak ongestructureerde) werkzaamheden veel van de risico’s (en datalekken) met zich meedragen.
Ten tweede lopen er vaak verschillende processen door dezelfde applicatie, met o.a. verschillende grondslagen en doelen. Door dit in één DPIA te verzamelen wordt de analyse zeer complex. Zaken gaan door elkaar lopen en de DPIA is niet begrijpelijk meer voor de interne verantwoordelijke, die uiteindelijk toch moet besluiten of risico’s wel of niet geaccepteerd gaan worden.
Mijn derde argument is de effectiviteit van de DPIA als bewustwordingsmiddel. Het effect van de DPIA is namelijk nog veel groter wanneer deze op procesniveau uitgevoerd wordt. Het proces sluit beter aan op de belevingswereld van vakinhoudelijke medewerkers dan de applicatie. Door samen met vakinhoudelijke medewerkers door het proces te lopen en hier door een privacy-bril naar te kijken, worden zij zich nog beter bewust van privacy risico’s in hun dagelijkse activiteiten. Hiernaast voelen zij zich ook nog meer verantwoordelijk om deze risico’s te mitigeren.
Tenslotte zie ik dat, doordat de vakinhoudelijke medewerkers intensief betrokken (kunnen) worden bij een DPIA die op een proces wordt uitgevoerd, de uitkomsten van de DPIA ook meteen gedragen worden door de medewerkers. Ze hebben zelf meegedacht over risico’s en maatregelen en snappen waar deze vandaan komen. Dit maakt implementatie van maatregelen uiteindelijk vele malen eenvoudiger.
Vaak hoor ik: “We hebben onze processen nog helemaal niet beschreven”. Dat is geen probleem. Mensen weten vaak goed wat ze doen (ook als het niet helemaal is uitgeschreven), zeker als je de tijd neemt om door te vragen. Met een paar gesprekken heb je het proces inclusief de bijbehorende gegevensstroomanalyse[1] in kaart. Een mooie bijvangst: je hebt globaal een proces beschreven. Dit is een mooie eerste stap om de rest ook op te pakken. Vaak zien we ook dat er direct (niet privacy-gerelateerde) een efficiëntieslag gemaakt kan worden in de processen.
We hebben honderden processen, moet ik daar allemaal dan een DPIA op doen? Nee. Enkel op verwerkingen met mogelijk hoge risico’s voor de betrokkenen. Deze voorwaarde is tweeledig. Deel 1, zoals alles met de AVG geldt dit enkel als er sprake is van verwerking van persoonsgegevens. En deel 2, of een verwerking (of proces) mogelijke hoge risico’s omvat kun je bepalen met de lijst van de AP en de 9 criteria van de Europese toezichthouder. Heb je hierna toch nog te weinig duidelijkheid of een DPIA wel of niet zou moeten? Dan kan je toetsen bij collega-organisaties hoe zij hier tegenaan kijken of er voor kiezen dat je op twijfelgevallen altijd een DPIA doet.
Hopelijk geeft dit artikel duidelijkheid waarom ik DPIA’s op processen doe. Wil je meer informatie over hoe wij naar DPIA’s kijken en naar hoe wij ze uitvoeren? Kijk eens op www.mxi.nl/DPIA of luister naar onze privacy-podcast. Mocht je vragen of opmerkingen hebben of een keer willen sparren over ons DPIA-model. Neem contact op met Tobias!
M&I/Partners ondersteunt diverse zorginstellingen en overheidsorganisaties met de implementatie van de nieuwe privacywet. De AVG is per 25 mei van kracht gegaan. Een goed moment om onze ervaringen te delen én vooruit te kijken. Wij geven u enkele tips voor een betrouwbare digitale overheid met behulp van de AVG.
Lees verderOver de formatie van de Functionaris Gegevensbescherming (FG), het takenpakket van de FG en de knelpunten die wij zien ontstaan bij overheidsorganisaties.
Lees verder
