Help! We verzuipen in DPIA's

Gemeenten hebben vaak een wachtlijst met DPIA's vanwege de verwerkingen binnen de gemeentelijke organisatie die aan een DPIA moeten worden onderworpen. Dit kan zorgen voor druk en stress. Ontdek de 80-20 regel waarmee je een selectie maakt van DPIA's die de hoogste risico's hebben en de belangrijkste maatregelen identificeren.

Gemeenten hebben vaak veel verwerkingen waar een DPIA op uitgevoerd moet worden. Een DPIA moet worden uitgevoerd als deze op de lijst van de AP van verwerkingen waar een DPIA voor verplicht is staan of wanneer de verwerking voldoet aan minimaal twee van de criteria van de Europese privacytoezichthouders. Omdat gemeenten veel diensten leveren voor kwetsbare betrokkenen, zoals inwoners of medewerkers, is op veel verwerkingen van gemeenten een DPIA verplicht. Tegelijkertijd is de capaciteit van personen die DPIA's kunnen begeleiden vaak beperkt. Dit leidt tot een flinke wachtlijst van DPIA's die nog gedaan moeten worden.

Zo’n wachtlijst van DPIA’s kan druk en stress geven. Als er 40 DPIA's op de wachtlijst staan, lijkt het alsof er maar twee opties zijn.

1. Alle 40 DPIA's in korte tijd erdoorheen jassen.
   Dan heb je dat in elk geval gehad. Eventueel huur je een externe partij in. Hoewel het verleidelijk klinkt, leidt deze aanpak er vaak toe dat een organisatie aan het einde van de rit ontdekt dat er nu talloze risico's bekend zijn, maar er onvoldoende capaciteit is om deze aan te pakken.
2. Geen DPIA's doen.
   Wat is het nut van beginnen als je weet dat er geen einde aan komt en er onvoldoende ruimte is om alle noodzakelijke maatregelen te nemen?

De 80-20 regel

Wij pleiten dat er nog een derde optie is: de 80-20 regel. Hier maak je een selectie van DPIA's, waarbij je rekening houdt met de hoogste risico's en grootste winst. In de online lunchsessie 'Slimmer aan de slag met DPIA’s‘ bespraken wij de 80-20 regel. Door het slim selecteren en uitvoeren van je DPIA’s, kun je in 20% van je DPIA’s, 80% van de hoogste risico’s en belangrijkste maatregelen identificeren. 

In zes stappen

Er zijn zes stappen die een privacy officer kan volgen om te komen tot de 20% van de DPIA’s, die je 80% van het inzicht bieden.

1. Zorg dat je alle processen binnen een gemeente globaal in kaart hebt. De exacte scope bepaal je later in de DPIA. Het gaat nu om het voorsorteren.
2. Alle proceseigenaren voeren een PreDPIA in. Een format vind je hier.
3. De privacy officer deelt alle preDPIA's in op drie mogelijke uitkomsten: DPIA vereist; geen DPIA vereist; of nader te bepalen.
4. Vanuit de stapel 'DPIA vereist' selecteer je (in overleg met de eigenaren) DPIA's waarvan je verwacht dat deze de hoogste risico's hebben. Heb je bijvoorbeeld twee verwerkingen met financiële gegevens, maar gaat de eerste verwerking over WOZ-waarde en de tweede over schuldhulpverlening, dan selecteer je de tweede.
5. Bepaal hoeveel DPIA's je realistisch kan doen komend jaar. Maak op basis daarvan een keuze welke DPIA's je gaat doen. Zorg voor een grote diversiteit in processen en afdelingen om een zo groot mogelijk effect te creëren.
   Verschillende domeinen (sociaal, fysiek, bedrijfsvoering, OOV of burgerzaken), verschillende groepen betrokkenen (burgers, medewerkers, of specifieke groepen (kwetsbare) burgers) en verschillende applicaties. Kijk ook waar de energie zit. Een DPIA heeft pas écht nut als betrokken medewerkers aan boord zijn en samen met de privacy officer werken aan een goed eindresultaat. Een team waar ruimte, urgentie en/of bereidwilligheid voor een DPIA ontbreken, is niet het beste team om te starten.
6. Voer deze DPIA's uit. Alle documentatie voor de DPIA-methodiek van M&I/Partners vind je op www.mxi.nl/dpia.

Nu begint het pas

Het belangrijkste komt na het uitvoeren van de DPIA. De DPIA is namelijk niet afgelopen als je een rapport hebt geschreven. Uit vrijwel elke DPIA komen hoge risico's naar voren die gemitigeerd of geaccepteerd moeten worden. De zogeheten fase 2: prioriteren en oppakken van de maatregelen. 

Het goede nieuws? Dat is de 80-20 regel. Een DPIA legt vaak risico's bloot die meerdere verwerkingen raken. Als de rollen en rechten bijvoorbeeld niet goed zijn ingesteld in de applicatie, kan dit erop wijzen dat er organisatiebreed een proces ontbreekt voor het beheren van autorisaties. Dit soort ontdekkingen zijn uitdagend omdat het probleem groter is dan het proces zelf. Het vraagt om een teamoverstijgende aanpak. Maar de winst is vaak ook veel groter. Voer je één DPIA uit, en implementeer je de maatregelen organisatiebreed, dan merk je dat de risico's van andere DPIA’s al gedeeltelijk mitigeren. Die processen profiteren van de maatregelen die je bij een ander proces hebt genomen 

Wil je aan de slag met DPIA's? Neem dan even de tijd en pak niet de eerste de beste DPIA op. Dan zie je dat je niet hoeft te verzuipen.