Een DPIA laten uitvoeren?

In de Nederlandse tekst van de Europese Algemene verordening gegevensbescherming (AVG) spreken wij in artikel 35 en 36 AVG over gegevensbeschermingseffectbeoordeling. Deze beoordeling geven velen aan met Data Protection Impact Assessment, de Engelse aanduiding of alleen met de afkorting DPIA.

De uitkomsten van een DPIA leggen de beschermingsrisico’s van persoonsgegevens bloot. Het komt voor dat beschermingsmaatregelen bij het verwerken van persoonsgegevens niet passend en of niet effectief zijn. Bedrijven gebruiken het compliance “instrument” DPIA voor het beoordelen van bestaande en nieuw op te zetten verwerkingen van persoonsgegevens.

De bedrijfsleiding kan ook een DPIA laten uitvoeren op de beleidsvorming en het realiseren van de beleidsdoelen. De toezichthouder verwacht dat de bedrijfsleiding DPIA’s uitvoert op bepaalde verwerkingen van persoonsgegevens en dat periodiek (minimaal 1x per 3 jaar) de uitgevoerde DPIA’s worden geactualiseerd.

Wat is de motivatie?

De Europese wetgever vraagt om het uitvoeren van DPIA’s voor specifieke verwerkingen van persoonsgegevens. De Europese toezichthouders hebben in richtlijnen (guidelines) hun verwachtingen uitgewerkt voor welke verwerkingen DPIA’s nodig zijn en hoe een dergelijk beoordelingsonderzoek opgebouwd moet zijn. De Nederlandse toezichthouder, Autoriteit Persoonsgegevens (AP) schrijft uitgebreid hierover op haar website. In de Staatscourant publiceert de AP een lijst met verwerkingen waarvoor een DPIA verplicht is.

Het uitvoeren van DPIA’s kan ook bedrijfsmatig gemotiveerd zijn. Kennis hebben van de risico’s van het niet effectief beschermen van (persoons)gegevens leidt tot aansprakelijkheids- en kostenrisico’s die zich uiteindelijk voorgaan doen. De scope en reikwijdte van een DPIA onderzoeksaanpak kan de leiding verruimen naar bedrijfsgegevens, in het bijzonder bedrijfsgeheimen. Wij leggen bij het organiseren van de bedrijfscompliance functie een relatie tussen compliance-aanpak en de DPIA- onderzoeksaanpak. Hierdoor ligt de toegevoegde waarde voor het periodiek organiseren van DPIA’s ook in het verlengde van het organiseren van de compliance functie.

Kort en goed leiden de uitkomsten van DPIA’s tot:

  • Effectievere organisatie van bedrijfsactiviteiten; en
  • Beperken van aansprakelijkheids- en kostenrisico’s.

Hoe kunnen wij u helpen?

Heeft u vragen over het organiseren, implementeren of uitbouwen van een Data Protection Impact Assessment? Onze service-eigenaren bespreken graag uw behoefte, casus en/of probleem.

Factsheet Data Protection Impact Assessment (DPIA)

Download hier de factsheet over de Data Protection Impact Assessment (DPIA).

Wat is onze aanpak?

Verschillende toezichthouders, zoals de AP, verenigingen van beroepsbeoefenaren zoals de NOREA (zie: DPIA handreiking waaraan wij hebben meegewerkt), en opleidingsinstituten, zoals de Duthler Academy (DPIA theoretisch en praktisch kader) geven handreikingen en trainingen voor het uitvoeren van DPIA’s.

Op hoofdlijnen kunnen wij een DPIA als volgt inrichten:

  • Stap 1: De intake, de analyse van het object van onderzoek en het identificeren van risico’s: De bedrijfsleiding initieert periodiek, in overleg met de functionaris voor gegevensbescherming en het management, de doelen van de DPIA-onderzoeken gericht op het beoordelen van met name het effectief beschermen van persoonsgegevens. Het object van onderzoek heeft veelal betrekking op de beheers- en beveiligingsmaatregelen die in bedrijfsprocessen of verwerkingen van persoonsgegevens zijn of moeten worden opgenomen. De verwerkingen maken veelal onderdeel uit van een complex van bedrijfsprocessen. Het verkennen van de inherente, interne controle en onderzoek risico’s van de verwerking plaatst het onderzoek in een duidelijk bedrijfsperspectief.
  • Stap 2: Consulteren van de sleutelmedewerkers: de procesbeschrijvingen, de weerslag van het bewijs van effectieve werking van de beheersmaatregelen en het overzicht van de incidenten en de datalekken geven een basis voor het onderzoek. Dit in samenhang met de uitkomsten van de consultatie van de sleutelmedewerkers ontstaat een beeld van de volwassenheid van het effectief beschermen van persoonsgegevens.
  • Stap 3: Toetsen aan baselines: De bedrijfsleiding kan een set van standaarden en baselines – als onderdeel van haar beleid – omarmen voor het organiseren van de bedrijfsactiviteiten. Veelal zijn in de baselines eisen uit relevante wetgeving opgenomen. Op deze wijze heeft MYOBI bijvoorbeeld in de TTP-policy, in het bijzonder de TTP Gedragscode AVG relevante wetgeving op het vlak van het beschermen van persoonsgegevens opgenomen.
  • Stap 4: Documenteren van bevindingen en rapporteren: Tijdens een DPIA-onderzoek leggen de onderzoekers hun bevindingen systematisch vast. Zorgvuldig onderzoek kenmerkt zich door verslagen van gesprekken met medewerkers af te stemmen en onderzoekstappen reproduceerbaar te maken. Het gaat er om de betrokken medewerkers inzichten te geven waarom en hoe bedrijfsactiviteiten beter georganiseerd kunnen worden. Het proces van het uitvoeren van een DPIA is veelal belangrijker dan de uitkomsten. Het doel van de DPIA bepaalt de vorm van de rapportage. Veelal volstaat een toegankelijk verslag van bevindingen en aanbevelingen.

Meer over DPIA'sLees hieronder de blogs en artikelen over 'Data Protection Impact Assessments (DPIA's)'.

  • Waarom is een DPIA een krachtig instrument voor organisaties?

    In deze blog nemen wij u graag mee in onze gedachtengang wat wel een DPIA zou moeten zijn en welk krachtig instrument het kan zijn voor een bedrijf of instelling.

    1 mei 2020
  • Data Protection Impact Assessment, wat en wanneer?

    Wanneer een DPIA uitvoeren? Wanneer bent u verplicht om een Data Protection Impact Assessment uit te voeren? Volgens art 35 AVG is voor een verwerking een DPIA verplicht indien de verwerking waarschijnlijk tot een hoog risico leidt voor de rechten en vrijheden van natuurlijke personen. In een besluit van de Autoriteit Persoonsgegevens zijn 17 gevallen genoemd

    5 april 2019
  • Wat is de rol van de FG bij het uitvoeren van DPIA’s?

    Wat is een DPIA? Met een Data Protection Impact Assessment (DPIA) kan een bedrijf of instelling vooraf de privacyrisico’s van een gegevensverwerking in kaart brengen om daarna maatregelen te kunnen nemen om de risico’s voor betrokkenen te verkleinen. Als een Functionaris voor Gegevensbescherming (FG) is aangewezen, moet de verwerkingsverantwoordelijke ook diens advies inwinnen (artikel 35,

    12 februari 2019
  • Wat is een DPIA en waarom moet u een DPIA uitvoeren?

    Wat is een DPIA? Onder de Europese Algemene verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) kunnen organisaties verplicht zijn een Data Protection Impact Assessment (DPIA) uit te voeren. Door het uitvoeren van een DPIA kunt u vooraf de privacy risico’s van een gegevensverwerking in kaart brengen en

    11 februari 2019

Heeft u vragen of behoefte aan een afspraak?

Neem gerust contact met ons op via +31 (0) 70 392 22 09 of info@duthler.nl. Of neem hieronder contact op met onze specialisten.