Hulp nodig met het uitvoeren van een DPIA?
In de Nederlandse tekst van de Europese Algemene verordening gegevensbescherming (AVG) spreken wij in artikel 35 en 36 AVG over gegevensbeschermingseffectbeoordeling. Deze beoordeling geven velen aan met Data Protection Impact Assessment, de Engelse aanduiding of alleen met de afkorting DPIA.
De uitkomsten van een DPIA leggen de beschermingsrisico’s van persoonsgegevens bloot. Het komt voor dat beschermingsmaatregelen bij het verwerken van persoonsgegevens niet passend en of niet effectief zijn. Bedrijven gebruiken het compliance “instrument” DPIA voor het beoordelen van bestaande en nieuw op te zetten verwerkingen van persoonsgegevens.
De bedrijfsleiding kan ook een DPIA laten uitvoeren op de beleidsvorming en het realiseren van de beleidsdoelen. De toezichthouder verwacht dat de bedrijfsleiding DPIA’s uitvoert op bepaalde verwerkingen van persoonsgegevens en dat periodiek (minimaal 1x per 3 jaar) de uitgevoerde DPIA’s worden geactualiseerd.
Wat is de motivatie?
De Europese wetgever vraagt om het uitvoeren van DPIA’s voor specifieke verwerkingen van persoonsgegevens. De Europese toezichthouders hebben in richtlijnen (guidelines) hun verwachtingen uitgewerkt voor welke verwerkingen DPIA’s nodig zijn en hoe een dergelijk beoordelingsonderzoek opgebouwd moet zijn. De Nederlandse toezichthouder, Autoriteit Persoonsgegevens (AP) schrijft uitgebreid hierover op haar website. In de Staatscourant publiceert de AP een lijst met verwerkingen waarvoor een DPIA verplicht is.
Het uitvoeren van DPIA’s kan ook bedrijfsmatig gemotiveerd zijn. Kennis hebben van de risico’s van het niet effectief beschermen van (persoons)gegevens leidt tot aansprakelijkheids- en kostenrisico’s die zich uiteindelijk voorgaan doen. De scope en reikwijdte van een DPIA onderzoeksaanpak kan de leiding verruimen naar voldoende beschermen van bedrijfsgegevens, in het bijzonder bedrijfsgeheimen of adequaat toepassen van kunstmatige intelligentie (AI). Wij leggen bij het organiseren van de bedrijfscompliance functie een relatie tussen compliance-aanpak en de DPIA-onderzoeksaanpak. Hierdoor ligt de toegevoegde waarde voor het periodiek organiseren van DPIA’s ook in het verlengde van het organiseren van de compliance functie. Kort en goed leiden de uitkomsten van DPIA’s tot:
- Effectievere organisatie van bedrijfsactiviteiten; en
- Beperken van aansprakelijkheids- en kostenrisico’s.
Wat is onze aanpak?
Verschillende toezichthouders, zoals de Autoriteit Persoonsgegevens (AP), verenigingen van beroepsbeoefenaren zoals de NOREA (DPIA handreiking waaraan wij hebben meegewerkt), en opleidingsinstituten, zoals de Duthler Academy (zie DPIA theoretisch en praktisch kader) geven handreikingen en trainingen voor het uitvoeren van DPIA’s.
Op hoofdlijnen kunnen wij een DPIA als volgt inrichten:
- De intake, de analyse van het object van onderzoek en het identificeren van risico’s: De bedrijfsleiding initieert periodiek, in overleg met de functionaris voor gegevensbescherming (FG) en het management, de doelen van de DPIA-onderzoeken gericht op het beoordelen van met name het effectief beschermen van persoonsgegevens. Het object van onderzoek heeft veelal betrekking op de beheers- en beveiligingsmaatregelen die in bedrijfsprocessen of verwerkingen van persoonsgegevens zijn of moeten worden opgenomen. De verwerkingen maken veelal onderdeel uit van een complex van bedrijfsprocessen. Het verkennen van de inherente, interne controle en onderzoek risico’s van de verwerking plaatst het onderzoek in een duidelijk bedrijfsperspectief.
- Consulteren van de sleutelmedewerkers: De procesbeschrijvingen, de weerslag van het bewijs van effectieve werking van de beheersmaatregelen en het overzicht van de incidenten en de datalekken geven een basis voor het onderzoek. Dit in samenhang met de uitkomsten van de consultatie van de sleutelmedewerkers ontstaat een beeld van de volwassenheid van het effectief beschermen van persoonsgegevens.
- Toetsen aan baselines: De bedrijfsleiding kan een set van standaarden en baselines – als onderdeel van haar beleid – omarmen voor het organiseren van de bedrijfsactiviteiten. Veelal zijn in de baselines eisen uit relevante wetgeving opgenomen.
- Documenteren van bevindingen: Tijdens een DPIA-onderzoek leggen de onderzoekers hun bevindingen systematisch vast. Zorgvuldig onderzoek kenmerkt zich door verslagen van gesprekken met medewerkers af te stemmen en onderzoekstappen reproduceerbaar te maken. Het gaat er om de betrokken medewerkers inzichten te geven waarom en hoe bedrijfsactiviteiten beter georganiseerd kunnen worden. Het proces van het uitvoeren van een DPIA is veelal belangrijker dan de uitkomsten.
- Rapporteren: Het doel van de DPIA bepaalt de vorm van de rapportage. Veelal volstaat een toegankelijk verslag van bevindingen en aanbevelingen.
Optioneel:
- Bewustwordings– en trainingsprogramma: Afhankelijk van de scope en reikwijdte van de DPIA kan het nodig of gewenst zijn dat het medewerkers en management die betrokken zijn bij het onderzoek kennis opdoen. Duthler Associates, in samenwerking met onze academy, beschikt over bewustwordings- en trainingsprogramma’s die (bedrijfsspecifiek) ingezet kunnen worden.
- Tooling: Het voorbereiden, het uitvoeren, het vastleggen van bevindingen en het bepalen van de impact van een DPIA ondersteunt Duthler Associates met tooling, bijvoorbeeld het SBC Managementsysteem.
Wat is de samenhang met compliance en wat zijn de gebieden van onderzoek?
Een compliance-aanpak of treffen van maatregelen van administratieve organisatie en interne controle gaan over het organiseren van bedrijfsactiviteiten met behulp van bedrijfsprocessen waarin de maatregelen zijn opgenomen. De DPIA richt zich op het vaststellen dat de beheersmaatregelen effectief hebben gefunctioneerd.
Uitgevoerde DPIA’s
De professionals van Duthler Associates in samenwerking met betrokken medewerkers van bedrijven en instellingen hebben een scala aan DPIA’s uitgevoerd. Wij geven een impressie van de scope en reikwijdte:
- Samenstellen van toetsingskader gegevensbescherming en nagaan in hoeverre de bedrijfsactiviteiten adequaat zijn georganiseerd met bedrijfsprocessen en ondersteunende IT-systemen.
- Voor een primair proces beoordelen van de capaciteit van een nieuw ondersteunende IT-systeem de persoonsgegevens adequaat en effectief te beschermen.
- Bepalen van het volwassenheidsniveau privacybescherming, voorstellen voor het treffen van beheers- beveiligings- en compliance-maatregelen en inrichten van risico-management.
- Onderzoeken van de impact van IT-systemen en de hierin opgenomen beheers- en beveiligingsmaatregelen op de privacyrisico’s voor betrokkene.
- Samenstellen en toepassen van een gedragscode gegevensbescherming voor partners die (persoons)gegevens delen.
Het uitvoeren van DPIA’s verloopt gemakkelijker als de betrokken partijen bewustzijn van het belang van gegevensbescherming en kennis hebben van de risico’s voor de betrokkene en het bedrijf van gebrekkige maatregelen.
Laatste nieuw
In gesprek over ‘een DPIA die past bij uw bedrijf’
Aanleiding Het horen dat een Data Protection Impact Assessment (DPIA) uitgevoerd moet word…
Waarom is een DPIA een krachtig instrument voor organisaties?
In deze blog nemen wij u graag mee in onze gedachtengang wat wel een DPIA zou moeten zijn en welk kr…
Data Protection Impact Assessment, wat en wanneer?
Wanneer een DPIA uitvoeren? Wanneer bent u verplicht om een Data Protection Impact Assessment (DPIA)…
Leg uw vraag voor aan onze experts
Vragen over het uitvoeren van een Data Protection Impact Assessment (DPIA)? Neem gerust contact met ons op, wij staan u graag te woord.