Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Waarom is een DPIA een krachtig instrument voor organisaties?

Door: Caroline Willemse RFG RE AA, senior adviseur bij Duthler Associates

Het recht op privacy

Privacy is vrijheid. Zonder recht op privacy ben je vogelvrij voor overheden en private instellingen. Mensen beseffen vaak niet wat een voorrecht het is om in een land te leven waarin je recht hebt op privacy. Dat besef begint vaak pas te komen als je recht op privacy dat je gewend bent, beperkt wordt. De recente gebeurtenissen in Hong Kong onderschrijven dit. Studenten strijden – soms met hun leven – om hun rechten te behouden en deze studenten worden gesteund door een brede laag van de bevolking.

Privacy is een universeel mensenrecht, een fundamentele vrijheid en een grondrecht. In Nederland is privacy verankerd in artikel 10 van de Grondwet. De AVG heeft op Europees niveau een nadere invulling gegeven aan het recht op privacy door personen de regie over hun persoonsgegevens te geven. De AVG heeft bedrijven en instellingen de plicht opgelegd om persoonsgegevens te beschermen en hierover verantwoording af te leggen.

Hoe kunnen organisaties de rechten van personen eerbiedigen?

De AVG heeft aangegeven op welke wijze een organisatie een analyse moet uitvoeren om de rechten van personen te eerbiedigen. Deze analyse, een gegevensbeschermings-effectbeoordeling oftewel een Data Protection Impact Analyse (DPIA), is een instrument dat de AVG verplicht kan stellen. In de AVG is in hoofdlijnen aangegeven wanneer de DPIA verplicht is, de Europese toezichthouders hebben criteria opgesteld en de AP heeft een lijst van soorten verwerkingen opgesteld.

In de praktijk zien we dat lang niet alle verplichte DPIA’s worden uitgevoerd. De DPIA’s die wel worden uitgevoerd bestaan veelal uit een ingevulde checklist die eindigt in een bureaulade. In de markt worden DPIA’s met een strippenkaart aangeboden of als een ‘kant en klare’-oplossing. Is dat nu de bedoeling?

In deze blog nemen wij u graag mee in onze gedachtengang wat wel een DPIA zou moeten zijn en welk krachtig instrument het kan zijn voor een bedrijf of instelling.

Wanneer een DPIA uitvoeren?

Een DPIA is niet voor alle verwerkingen verplicht. In de AVG is in het algemeen aangegeven wanneer een DPIA verplicht is. Op Europees niveau zijn negen criteria benoemd en als een verwerking aan twee of meer criteria voldoet moet een DPIA worden uitgevoerd. Daarnaast heeft de AP een lijst gepubliceerd met verwerkingen waarvoor een DPIA verplicht is.

Maar ook al is een DPIA niet verplicht, er zal altijd moeten kunnen worden uitgelegd als een DPIA niet wordt uitgevoerd. En als verwerkingsverantwoordelijke ben je nog steeds verplicht om een verwerking te toetsen aan de vereisten van de AVG en moet je hierover verantwoording kunnen afleggen. Een DPIA kan als een verantwoordingsdocument hiervoor dienen.

Wat is het doel van een DPIA?

Een DPIA moet als resultaat opleveren dat inzichtelijk is welke risico’s er zijn en op welke wijze deze risico’s vermeden of beheerst kunnen worden. Alleen dan worden rechten van personen gerespecteerd. Het is dus een diepgravend onderzoek dat consequenties voor een persoon moet signaleren en verder onderzoeken.

Nu is de vraag wat een organisatie ermee opschiet om een risicoanalyse uit te voeren op het belang van een persoon. Met het geven van de regie over hun persoonsgegevens aan personen, mogen organisaties geen persoonsgegevens verwerken tenzij dit toegestaan is in de AVG (of een specifieke wetgeving) en onder de met name genoemde voorwaarden. Personen zullen alleen hun persoonsgegevens willen delen met organisaties als die zich volgens de afspraken met hun gegevens omgaan. Gebeurt dat niet dan zullen personen eisen dat een organisaties (waar mogelijk) hun persoonsgegevens vernietigt. Ook kan het leiden tot een klacht bij de AP of een civiele claim.

Organisaties die het vertrouwen van personen verliezen, verliezen hiermee ook hun ‘license to operate’. Een DPIA is een goed instrument voor de beheersing van dit risico.

De AVG kent ook een verantwoordingsplicht. Een DPIA kan worden gezien als een verantwoordingsdocument in het kader van accountability. Het geeft aan welke risico’s onderkend zijn en hoe afwegingen zijn gemaakt om tot passende technische en organisatorische maatregelen te komen. Een organisatie kan het document overleggen aan de AP als hiertoe aanleiding zou zijn.

Het gezegde ‘bezin eer u begint’ is zeker van toepassing bij de DPIA. Hoe eerder een DPIA wordt gestart hoe meer bijsturing mogelijk is.

Hoe stel ik het onderwerp vast van een DPIA?

Het object van onderzoek van een DPIA kan velerlei zijn.Vaak wordt een verwerking genomen maar dat is niet altijd de beste keuze.

Een organisatie bestaat uit diverse lagen. Op iedere laag is een DPIA mogelijk, bijvoorbeeld op directiebesluiten of een afdeling. Maar ook op een applicatie is een DPIA mogelijk. Alles kan een object van onderzoek zijn.

Het is daarom belangrijk om te bepalen wat de scope van de DPIA is. Een hulpmiddel hiervoor is het uitvoeren van een risicoanalyse op het gehele organisatie. Deze risicoanalyse moet aangeven waar zich de risico’s voor de privacy van personen kunnen bevinden. Hieruit kan dan weer een clustering plaatsvinden naar logische eenheden die een object van onderzoek kunnen zijn.

De risicoanalyse is ook een basis om te komen tot een jaarplanning van DPIA’s. Omdat de meeste organisaties onvoldoende capaciteit hebben om alle benodigde DPIA’s uit te voeren kan met de analyse de keuzes voor het wel/niet plannen van een DPIA onderbouwd worden. Hierbij moet uiteraard wel rekening gehouden worden met de objecten die krachtens de wet aan een DPIA onderworpen moeten worden. Maar ook deze door de wet (en de AP) benoemde verwerkingen kunnen een andere, uitgebreidere scope van onderzoek krijgen.

Instellingen die tot de Rijksdient behoren moeten vanaf 1 september 2013 verplicht een DPIA uitvoeren bij ontwikkeling van nieuwe wetgeving en beleid waarmee de bouw van nieuwe ICT-systemen of de aanleg van grote databestanden wordt voorzien. Ook hier geldt dat met wijsheid de scope moet worden bepaald.

Nadat de scope van de DPIA is bepaald wordt deze vastgelegd in een opdrachtbeschrijving.

Wat is de methodiek van de DPIA?

De AVG schrijft geen specifieke methodiek voor hoe de DPIA uitgevoerd moet worden. Er moet wel worden voldaan aan de basisvereisten zoals die in de AVG staan beschreven, zoals een systematische beschrijving van de gegevensverwerking en een beoordeling van de privacyrisico’s en de maatregelen om de risico’s aan te pakken.

Er zijn twee handreikingen met modellen die veel gebruikt worden. De Rijksdienst heeft in september 2017 een model voor het proces van uitvoeren van een DPIA en een model om de DPIA uit te voeren, uitgebracht.  Deze modellen zijn verplicht door de Rijksdienst[1]. Daarnaast heeft NOREA een handreiking en vragenlijst opgesteld om een DPIA uit te voeren. Deze dateert uit 2015. In dat jaar was de Wbp nog van kracht maar gezien deze wet op hoofdlijnen gelijk is aan de AVG, is dat op zich geen probleem.

De handreikingen kunnen houvast geven bij de uitvoering van een DPIA. Het is dan wel zaak dat de vragenlijsten worden ingevuld vanuit de gedachten die in de handreikingen zijn uitgewerkt.

Beter is het ons inziens om te werken vanuit de eigen kennis en ervaring en de vragenlijsten alleen te gebruiken als checklist achteraf en niet als initieel instrument.

Bij de DPIA moet ons inziens ook gekeken worden naar de efficiëntie van de verwerking en de effectieve beheersing hiervan. Bij de verwerking moet bijvoorbeeld zoveel mogelijk aangesloten worden op standaardisatie (met name om operabiliteit mogelijk te maken) en moet beheersing effectief worden ingeregeld door zoveel mogelijk geautomatiseerde controles en moet de beheersing controleerbaar zijn. Hierbij moet ook rekening gehouden worden met de cultuur van het bedrijf of instelling om in te kunnen schatten of controles effectief zullen/kunnen zijn.

Tijdens de DPIA moet de verwerking getoetst worden aan de vereisten van de AVG maar ook aan andere relevante wetgeving.

Tijdens de DPIA wordt de lifecycle van de verwerking doorgenomen. Het begint bij de initiatie van de verwerking tot aan het einde van de bewaartermijn van de verwerking. Bij dit laatste kan ook gedacht worden aan het geautomatiseerd verwijderen van de persoonsgegevens nadat de bewaartermijn is afgelopen.

Wat zijn de benodigde competenties voor de uitvoering van een DPIA?

Organisaties laten een DPIA soms uitvoeren door de Functionaris voor Gegevensbescherming (FG). Hiermee duwen ze de FG in een uitvoerende rol die hij/zij niet behoort te hebben. De wetgever heeft de FG een adviserende en toezichthoudende rol toegekend, een rol die hij/zij zelfs wettelijk verplicht is te vervullen bij de DPIA.

Hiermee is niet gezegd dat voor de uitvoering van een DPIA geen privacykennis nodig is. Beslist niet. De coördinatie en de overall verantwoordelijkheid voor de DPIA moet in handen komen bij een interne of externe medewerker die kennis en ervaring heeft op het gebied van privacywetgeving en de bedrijfssector. Dit zijn de ‘harde’ competentie eisen maar net zo belangrijk zijn de ‘zachte’ competenties zoals analytische en communicatieve vaardigheden. Het is aan te bevelen dat deze medewerker ook ervaring heeft met het leiden van projecten.

Hoe ziet het team eruit?

De coördinator moet bepalen welke deskundigheid nodig is om de DPIA uit te voeren. Te denken valt aan de volgende medewerkers die betrokken zijn bij de (nieuwe) verwerking:

  • Projectleider;
  • ICT-architect;
  • Teamleider;
  • Uitvoerende medewerker;
  • CISO;
  • Privacy medewerker;
  • Jurist.

De grootte van het team is mede afhankelijk van de omvang van de organisatie en de omvang en risico-inschatting van de (voorgenomen) verwerking.

Als de verwerking (deels) wordt uitbesteed, is het raadzaam om een betrokken medewerker van de uitbestedende partij te laten aanhaken.

De FG wordt geen onderdeel van het team maar brengt gedurende de DPIA diens kennis en expertise in.

Wat is de uitvoering van de DPIA?

De uitvoering van de DPIA kan op verschillende wijzen gebeuren. Het is hierbij ook belangrijk dat de coördinator van de DPIA kan inschatten welke wijze van uitvoering het meest effectief en efficiënt is.

Er kan bijvoorbeeld een gezamenlijke bijeenkomst worden georganiseerd waarbij de (potentiële) verwerking wordt doorgenomen en ieder kan aangeven welke risico’s hij/zij onderkent. Een dergelijke bijeenkomst heeft als voordeel dat de aanwezigen kunnen leren van elkaars zienswijze en ervaring. Het kost echter wel veel (doorloop)tijd om zo’n bijeenkomst te organiseren en te houden.

Het kan efficiënter en effectiever zijn om de teamleden afzonderlijk te interviewen door de coördinator en op basis daarvan de DPIA uit te werken. De coördinator kan zonodig doorvragen op risico’s en opgehaalde beelden uit andere interviews al delen.

Aan het einde kan de concept uitwerking van de DPIA worden gestuurd naar de teamleden met het verzoek om feedback te leveren. Het is ook mogelijk om een gezamenlijke eindbijeenkomst te houden waarin de gehele DPIA wordt besproken en ieder hierbij vragen kan stellen, opmerkingen kan geven of aanvullingen kan doen.

De FG kan ook in deze fase van de uitvoering diens advies geven.

De rapportage van de DPIA

Het rapport is de verantwoording van de keuze van het object van onderzoek en de hieruit voortkomende opdrachtomschrijving. Het beschrijft tevens de gegevensstroom, de inherente risico’s en de maatregelen die de risico’s moeten beheersen. Ook de teamleden en hun deskundigheid worden genoemd evenals de overwegingen die zijn gemaakt om maatregelen als passend te benoemen.

De rapportage is tevens bedoeld als handvat om privacy by design en security by design te kunnen inregelen omdat de requirements hiervoor in het rapport zijn opgenomen.

Wat is het voordeel van een DPIA lifecycle?

De DPIA houdt niet op na het uitbrengen van het rapport en moet continue bijgewerkt worden met de actuele kennis die tijdens het project wordt opgedaan, met name over de inrichting van de beheersingsmaatregelen. Ook na het operationaliseren moet de DPIA bijgewerkt worden, minimaal 1x per 3 jaar maar in ieder geval na relevante wijzigingen. Bij wijzigingen kan gedacht worden aan toename van de omvang van de verwerking, nieuwe dreigingen eb betere of goedkopere beveiligingsmethodes.

Een aanleiding om een DPIA bij te werken kan ook zijn de klachten over de verwerking of een stroom van verzoeken van betrokkenen om hun rechten uit te oefenen. Uit de root cause hiervan kan mogelijk een wijziging in de gegevensverwerking nodig blijken te zijn.

De DPIA kan pas afgerond worden als de bewaartermijn van de laatste verwerking is verstreken.

Contact en meer informatie

Heeft u vragen of interesse? Neem gerust contact met ons op via 070 392 22 09, of door een e-mail te sturen naar info@duthler.nl.

Wij ondersteunen en voeren al meer dan 20 jaar DPIA’s bij veel verschillende opdrachtgevers uit. U kunt gebruik maken van de kennis en kunde van ons toonaangevende team van professionals met een unieke combinatie van juridische, compliance en technische expertise.

Bekijk onze Data Protection Impact Assessment pagina. Wij werken graag met u samen!


[1] De begrippen Rijk, rijksdienst en overheid worden in dit model door elkaar gebruikt. In alle gevallen wordt bedoeld:  het Rijk (kerndepartementen, agentschappen, toezichts­ en uitvoeringsorganisaties). Niet onder deze definitie vallen  de zelfstandige bestuursorganen, defensie, politie, rechterlijke macht en decentrale overheden. Door een aantal van  deze sectoren (o.a. defensie), wordt wel gebruik gemaakt van het Model gegevensbeschermingseffectbeoordeling rijksdienst (PIA).