Wat is de motivatie?

De Europese wetgever vraagt om het uitvoeren van DPIA’s voor specifieke verwerkingen van persoonsgegevens. De Europese toezichthouders hebben in richtlijnen (guidelines) hun verwachtingen uitgewerkt voor welke verwerkingen DPIA’s nodig zijn en hoe een dergelijk beoordelingsonderzoek opgebouwd moet zijn. De Nederlandse toezichthouder, Autoriteit Persoonsgegevens (AP) schrijft uitgebreid hierover op haar website. In de Staatscourant publiceert de AP een lijst met verwerkingen waarvoor een DPIA verplicht is.

Het uitvoeren van DPIA’s kan ook bedrijfsmatig gemotiveerd zijn. Kennis hebben van de risico’s van het niet effectief beschermen van (persoons)gegevens leidt tot aansprakelijkheids- en kostenrisico’s die zich uiteindelijk voorgaan doen.

De scope en reikwijdte van een DPIA onderzoeksaanpak kan de leiding verruimen naar bedrijfsgegevens, in het bijzonder bedrijfsgeheimen. Wij leggen bij het organiseren van de bedrijfscompliance functie een relatie tussen compliance-aanpak en de DPIA- onderzoeksaanpak. Hierdoor ligt de toegevoegde waarde voor het periodiek organiseren van DPIA’s ook in het verlengde van het organiseren van de compliance functie. Kort en goed leiden de uitkomsten van DPIA’s tot:

• Effectievere organisatie van bedrijfsactiviteiten; en
• Beperken van aansprakelijkheids- en kostenrisico’s.

Wat is onze aanpak?

Verschillende toezichthouders, zoals de AP, verenigingen van beroepsbeoefenaren zoals de NOREA, en opleidingsinstituten, zoals de Duthler Academy (DPIA theoretisch en praktisch kader) geven handreikingen en trainingen voor het uitvoeren van DPIA’s. Op hoofdlijnen kunnen wij een DPIA als volgt inrichten:

1. De intake, de analyse van het object van onderzoek en het identificeren van risico’s: De bedrijfsleiding initieert periodiek, in overleg met de functionaris voor gegevens-bescherming en het management, de doelen van de DPIA-onderzoeken gericht op het beoordelen van met name het effectief beschermen van persoonsgegevens. Het object van onderzoek heeft veelal betrekking op de beheers- en beveiligingsmaatregelen die in bedrijfsprocessen of verwerkingen van persoonsgegevens zijn of moeten worden opgenomen. De verwerkingen maken veelal onderdeel uit van een complex van bedrijfsprocessen. Het verkennen van de inherente, interne controle en onderzoek risico’s van de verwerking plaatst het onderzoek in een duidelijk bedrijfsperspectief.
2. Consulteren van de sleutelmedewerkers: De procesbeschrijvingen, de weerslag van het bewijs van effectieve werking van de beheersmaatregelen en het overzicht van de incidenten en de datalekken geven een basis voor het onderzoek. Dit in samenhang met de uitkomsten van de consultatie van de sleutelmedewerkers ontstaat een beeld van de volwassenheid van het effectief beschermen van persoonsgegevens.
3. Toetsen aan baselines: De bedrijfsleiding kan een set van standaarden en baselines – als onderdeel van haar beleid – omarmen voor het organiseren van de bedrijfsactiviteiten. Veelal zijn in de baselines eisen uit relevante wetgeving opgenomen. 
4. Documenteren van bevindingen en rapporteren: Tijdens een DPIA-onderzoek leggen de onderzoekers hun bevindingen systematisch vast. Zorgvuldig onderzoek kenmerkt zich door verslagen van gesprekken met medewerkers af te stemmen en onderzoekstappen reproduceerbaar te maken. Het gaat er om de betrokken medewerkers inzichten te geven waarom en hoe bedrijfsactiviteiten beter georganiseerd kunnen worden. Het proces van het uitvoeren van een DPIA is veelal belangrijker dan de uitkomsten. Het doel van de DPIA bepaalt de vorm van de rapportage. Veelal volstaat een toegankelijk verslag van bevindingen en aanbevelingen.

Wat is de samenhang met compliance en wat zijn de gebieden van onderzoek? 

Een compliance-aanpak of treffen van maatregelen van administratieve organisatie en interne controle gaan over het organiseren van bedrijfsactiviteiten met behulp van bedrijfsprocessen waarin de maatregelen zijn opgenomen. De DPIA richt zich op het vaststellen dat de beheersmaatregelen effectief hebben gefunctioneerd. 

Heeft u vragen of wilt u een afspraak maken? 

Heeft u een DPIA nodig of een vraag over DPIA? Of heeft u een andere vraag? Neem gerust contact met ons op. Onze professionals staan u graag te woord.