De DPIA is uitgevoerd en er zijn geen hoge risico’s. Wat fijn! Iedereen – de FG, privacy officer en proceseigenaar – haalt opgelucht adem. Totdat de privacy officer een paar weken later verontrustende vragen krijgt. “We hebben alle gegevens uit de applicatie ook in een Excel staan, moeten we daar iets mee?” en “Is er een bewaartermijn voor e-mails met gezondheidsgegevens?” Wat blijkt? Er is een DPIA uitgevoerd, maar deze is uitgevoerd op de applicatie. Het proces dat buiten de applicatie loopt, is niet meegenomen.
Regelmatig krijgen we de vraag of we een DPIA willen uitvoeren voor Applicatie X of Applicatie Y. Ons antwoord? DPIA’s doe je niet op een applicatie, maar op een proces. Zo voorkom je namelijk dat je privacyrisico’s mist, omdat die zich bevinden in schaduwadministratie, e-mails en excelbestanden. In deze blog leggen we uit hoe een DPIA op een proces werkt en waarom dit onze voorkeur heeft.
Het is duidelijk waarom wij een DPIA op een proces de voorkeur geven. Maar hoe werkt dat precies?
Bij een DPIA op een proces ga je uit van een proces met daarbinnen een set aan verschillende systemen en actoren. Laten we het proces instroom van personeel als voorbeeld nemen. Vaak wordt dit gedaan in een grote E-HRM applicatie, maar daarnaast zijn er andere systemen en actoren. Zo wordt de indiensttreding vaak gedaan door de manager via een mailtje aan personeelszaken en komen de sollicitaties vaak via een ander systeem binnen. Bij een DPIA op het proces neem je deze systemen en actoren ook mee, deze zijn namelijk onderdeel van het proces zoals herkend door een medewerker personeelszaken.
Dat zie je hieronder ook in het plaatje. Een manager geeft per e-mail door aan personeelszaken dat er een wijziging is: er komt een nieuwe medewerker in dienst. De afdeling personeelszaken verwerkt dit in een applicatie voor personeelszaken. Vanuit deze applicatie wordt de afdeling salarisadministratie gewezen op een nieuwe medewerker, waarna deze de relevante wijzigingen doorvoert in de salarisadministratieapplicatie. Voor de maandcontrole houden ze daarnaast een aparte excellijst bij met de wijzigingen van de afgelopen maand.
Als de DPIA enkel op de applicatie wordt uitgevoerd, wordt hooguit de paarse lijn getoetst: persoonsgegevens komen binnen in een applicatie en kunnen hieruit worden opgehaald. Bij een DPIA op een proces wordt de hele gele lijn meegepakt: van het eerste bericht van de manager tot de excellijst.
Doordat je deze systemen en actoren meeneemt, breng je de risico’s van de hele verwerking in kaart. Misschien wordt deze indiensttreding wel een paar keer heen en weer gemaild of worden er op de excellijst te veel persoonsgegevens bewaard. Doordat een medewerker uit dit proces precies beschrijft welke handelingen die uitvoert, komt dit altijd boven water. Wanneer de DPIA zich alleen richt op de applicatie, is het waarschijnlijk dat een medewerker deze processen niet beschrijft; ze lijken op dat moment niet relevant.
In eerste instantie lijkt een DPIA op een proces vooral veel meer werk dan een DPIA op een applicatie. Wat zijn dan precies de voordelen? Hieronder belichten we er vijf.
In een applicatie zijn bepaalde privacymaatregelen vaak al ingebouwd, bijvoorbeeld door de leverancier. Denk daarbij aan kant-en-klare autorisatiematrices, geautomatiseerde bewaartermijnen en de standaardinstelling voor het gebruik van multifactorauthenticatie (MFA). Buiten de applicatie zijn dit soort maatregelen minder vanzelfsprekend. Wordt er in het proces gebruik gemaakt van een excelbestand of wordt er veel gemaild? De ervaring leert dat zaken als autorisaties en bewaartermijnen op die gebieden minder doordacht zijn. Door een DPIA op het proces te doen worden de risico’s van deze mailtjes en excellijstjes ook meegenomen.
Bij veel van de processen waar een DPIA op gedaan moet worden speelt de mens een grote rol bij het waarborgen van de privacy. Veel processen blijven mensenwerk. Wie heeft precies toegang en welke afdelingen worden meegenomen in de mail? Zijn er bepaalde foutgevoeligheden in het proces, waardoor het risico op datalekken verhoogd wordt? Door het hele proces mee te nemen, worden ook de menselijke handelingen meegenomen.
Uiteindelijk worden DPIA’s uitgevoerd met als doel de business te helpen haar zaken zo goed mogelijk te regelen voor betrokkenen. Het privacyteam adviseert hierbij, maar een DPIA is geen feestje van het privacyteam. Daarom is het van belang dat de DPIA zo goed als mogelijk aansluit bij de belevingswereld van de business. Dit doe je door dezelfde taal te spreken en door het proces te beschrijven zoals het herkend wordt. Meestal hoort bij het proces ook een extra excellijstje of een extra mailtje buiten de applicatie. Een DPIA op het proces helpt dus bij het aansluiten op de belevingswereld van de medewerkers.
Doelbinding is essentieel bij privacy. Je verwerkt persoonsgegevens, omdat je deze nodig hebt voor het uitvoeren van bepaalde taken om je doel te bereiken. Een applicatie is slechts een middel dat je helpt om dit doel te bereiken. Wanneer een DPIA zich enkel richt op een applicatie, is het vaak lastig om te bepalen of er sprake is van doelbinding – het systeem an sich heeft namelijk geen doel. Dat zorgt ervoor dat het moeilijk is om te bepalen of er wordt voldaan aan zaken als noodzakelijkheid, subsidiariteit en proportionaliteit. Focus op een proces zorgt dat je automatisch het doel makkelijker kan bepalen.
Processen staan nooit stil. Ze veranderen voortdurend. Dat betekent ook dat een uitgevoerde DPIA regelmatig herzien moet worden. Door een DPIA op een proces te doen, ben je beter opgewassen tegen kleine veranderingen binnen dat proces. Heb je een DPIA uitgevoerd op de applicatie, en verander je van applicatie? Dan moet je de hele DPIA opnieuw uitvoeren, en de oude kun je weggooien. Heb je de DPIA uitgevoerd op het proces, en verander je van applicatie, dan is het herzien van de DPIA beperkt tot het controleren van de wijzigingen: waar verandert je proces? Hoe verhoudt het beveiligingsniveau van de oude applicatie zich ten opzichte van de nieuwe? Je hoeft dus niet de hele DPIA opnieuw te doen.
Als je besluit de gegevens die je hebt, te gebruiken voor een ander doel, is het ook meteen duidelijk dat de eerder uitgevoerde DPIA niet afdoende is. Het gaat immers niet om hetzelfde proces (zelfs al gebruik je precies dezelfde brondata en applicaties). En heb je bijvoorbeeld een DPIA gedaan op het gebruik van een scanauto voor foutparkeerder, maar ga je die nu ook inzetten voor het vaststellen van roodrijders, dan vraagt dat waarschijnlijk om heel andere privacymaatregelen.
Een bijkomend voordeel is dat je bij het uitvoeren van de DPIA de processen in kaart brengt. Medewerkers weten vaak heel goed wat ze doen, ook als het proces nog niet is uitgeschreven. Met een paar gesprekken in het kader van de DPIA, heb je het proces meteen in kaart. Door het proces in kaart te brengen, verduidelijk je het voor iedereen. Daardoor kun je ook zien waar nog efficiëntieslagen te halen zijn, ook als ze niet persé privacygerelateerd zijn. Denk aan een proces waarbij informatie naar zes verschillende personen gemaild wordt, terwijl deze informatie ook in een beveiligde SharePoint-omgeving beschikbaar kan worden gesteld.
Er zijn ook een aantal nadelen verbonden aan een DPIA op een proces. We lichten de drie belangrijkste uit.
Het is van belang om de DPIA goed te scopen, zodat deze niet onwerkbaar groot of complex wordt. Het risico is dat een DPIA op een proces niet goed gescoped wordt, waardoor er een hele grote, uitgebreide DPIA plaatsvindt waarbij men de essentie uit het oog verliest. Een lijst met tientallen hoogover risico’s kan het gevolg zijn. Daarmee help je de organisatie niet verder. Bij het proces hierboven wordt enkel nieuw personeel In kaart gebracht. Het is verstandig om andere HRM-processen, zoals verzuim of doorstroom van bestaand personeel, hier uit te laten en in een latere DPIA te doen. Vaak zijn dit processen die op een hele andere manier ingericht zijn, met hun eigen risico’s.
Een DPIA op een proces heeft meestal een uitgebreidere scope. Hierdoor doe je een bredere risicoanalyse dan bij een DPIA op een applicatie. Dit leidt vanzelfsprekend tot meer werk en meer risico’s, en dus tot een beter inzicht in de risico’s van een verwerking. Het betekent dat je langer bezig bent met de DPIA dan wanneer je deze enkel op de applicatie uitvoert. Wij vinden dat op basis van het resultaat een te accepteren nadeel, maar het vraagt wel om andere verwachtingen in een organisatie. Het aantal DPIA’s dat je in een jaar kan uitvoeren, zul je moeten bijstellen.
Bij elke DPIA zul je merken dat er ‘proces overstijgende risico’s’ zijn. Dit zijn risico’s die in de DPIA naar voren komen, maar waar je niet direct vanuit het proces impact op hebt. Denk bijvoorbeeld aan het ontbreken van een goede functiebeschrijving bij HRM, waardoor jij worstelt met het inrichten van de autorisatiematrix in een ander proces.
Daarnaast zie je bij een DPIA op een proces vaak informatiestromen die buiten de organisatie gaan of vanuit buiten de organisatie binnenkomen. Denk aan aanvragen die via het Digitaal Stelsel Overheden binnenkomen of informatie die naar het Openbaar Ministerie gaat. Het is van belang hoe je iets verstuurt of opslaat, maar je hebt geen of slechts beperkt invloed hoe de andere organisatie hiermee omgaat. Soms wringt dat; je krijgt bijvoorbeeld een Burgerservicenummer binnen dat je helemaal niet wilt hebben. Bij een DPIA op een proces kan het dus voorkomen dat je risico’s ontdekt, die buiten je invloedssfeer liggen. Toch pleiten we dat het beter is om te weten dat dit gebeurt dan niet. Dan kun je het gesprek aan met de andere organisatie, of eventueel zelf extra maatregelen nemen.
Een DPIA op een proces heeft voordelen en nadelen. Toch pleiten we dat de voordelen opwegen tegen de nadelen. Veel organisaties hebben tientallen processen waar je een DPIA op zou moeten doen vanwege de hoge potentiële risico’s. Nu vraag je je misschien af waar je moet beginnen. Daar gaan we verder op in in onze blog ‘Help, we verzuipen in DPIA’s’.
Klaar om aan de slag te gaan met DPIA’s op procesniveau? Neem een kijkje bij ons gratis beschikbaar DPIA-materiaal: www.mxi.nl/dpia
ICT-projecten bij de overheid liggen onder het vergrootglas. Er zijn tal van maatregelen voor projectbeheersing die kunnen helpen bij het vergroten van de slaagkans. De specifieke context van de overheidsprojecten vraagt om met een aangepaste ‘bril’ naar deze projecten te kijken en aanvullende of andersoortige maatregelen te treffen.
Lees verderPrivacy is heilig. Het loog er niet om, de disciplinaire maatregelen die het Haga Ziekenhuis onlangs trof tegen 85 medewerkers. Ze kregen allemaal een officiële waarschuwing omdat ze onrechtmatig in het Elektronisch Patiënten Dossier van realityster Samantha de Jong (Barbie) hadden gekeken.
Lees verder
