Meteen naar de inhoud

Data Protection Impact Assessment laten uitvoeren?

In de Nederlandse tekst van de Europese Algemene verordening gegevensbescherming (AVG) spreken wij in artikel 35 en 36 AVG over gegevensbeschermingseffectbeoordeling. Deze beoordeling geven velen aan met Data Protection Impact Assessment, de Engelse aanduiding of alleen met de afkorting DPIA.

De uitkomsten van een DPIA leggen de beschermingsrisico’s van persoonsgegevens bloot. Het komt voor dat beschermingsmaatregelen bij het verwerken van persoonsgegevens niet passend en of niet effectief zijn. Bedrijven gebruiken het compliance “instrument” DPIA voor het beoordelen van bestaande en nieuw op te zetten verwerkingen van persoonsgegevens. 

De bedrijfsleiding kan ook een DPIA laten uitvoeren op de beleidsvorming en het realiseren van de beleidsdoelen. De toezichthouder verwacht dat de bedrijfsleiding DPIA’s uitvoert op bepaalde verwerkingen van persoonsgegevens en dat periodiek (minimaal 1x per 3 jaar) de uitgevoerde DPIA’s worden geactualiseerd.

Wat is de motivatie?

De Europese wetgever vraagt om het uitvoeren van DPIA’s voor specifieke verwerkingen van persoonsgegevens. De Europese toezichthouders hebben in richtlijnen (guidelines) hun verwachtingen uitgewerkt voor welke verwerkingen DPIA’s nodig zijn en hoe een dergelijk beoordelingsonderzoek opgebouwd moet zijn. De Nederlandse toezichthouder, Autoriteit Persoonsgegevens (AP) schrijft uitgebreid hierover op haar website. In de Staatscourant publiceert de AP een lijst met verwerkingen waarvoor een DPIA verplicht is.

Het uitvoeren van DPIA’s kan ook bedrijfsmatig gemotiveerd zijn. Kennis hebben van de risico’s van het niet effectief beschermen van (persoons)gegevens leidt tot aansprakelijkheids- en kostenrisico’s die zich uiteindelijk voorgaan doen.

De scope en reikwijdte van een DPIA onderzoeksaanpak kan de leiding verruimen naar bedrijfsgegevens, in het bijzonder bedrijfsgeheimen. Wij leggen bij het organiseren van de bedrijfscompliance functie een relatie tussen compliance-aanpak en de DPIA- onderzoeksaanpak. Hierdoor ligt de toegevoegde waarde voor het periodiek organiseren van DPIA’s ook in het verlengde van het organiseren van de compliance functie. Kort en goed leiden de uitkomsten van DPIA’s tot:

  • Effectievere organisatie van bedrijfsactiviteiten; en
  • Beperken van aansprakelijkheids- en kostenrisico’s.

Wat is onze aanpak?

Verschillende toezichthouders, zoals de AP, verenigingen van beroepsbeoefenaren zoals de NOREA (zie DPIA handreiking waaraan wij hebben meegewerkt), en opleidingsinstituten, zoals de Duthler Academy (DPIA theoretisch en praktisch kader) geven handreikingen en trainingen voor het uitvoeren van DPIA’s.

Op hoofdlijnen kunnen wij een DPIA als volgt inrichten:

  1. De intake, de analyse van het object van onderzoek en het identificeren van risico’s: De bedrijfsleiding initieert periodiek, in overleg met de functionaris voor gegevens-bescherming en het management, de doelen van de DPIA-onderzoeken gericht op het beoordelen van met name het effectief beschermen van persoonsgegevens. Het object van onderzoek heeft veelal betrekking op de beheers- en beveiligingsmaatregelen die in bedrijfsprocessen of verwerkingen van persoonsgegevens zijn of moeten worden opgenomen. De verwerkingen maken veelal onderdeel uit van een complex van bedrijfsprocessen. Het verkennen van de inherente, interne controle en onderzoek risico’s van de verwerking plaatst het onderzoek in een duidelijk bedrijfsperspectief.
  2. Consulteren van de sleutelmedewerkers: De procesbeschrijvingen, de weerslag van het bewijs van effectieve werking van de beheersmaatregelen en het overzicht van de incidenten en de datalekken geven een basis voor het onderzoek. Dit in samenhang met de uitkomsten van de consultatie van de sleutelmedewerkers ontstaat een beeld van de volwassenheid van het effectief beschermen van persoonsgegevens.
  3. Toetsen aan baselines: De bedrijfsleiding kan een set van standaarden en baselines – als onderdeel van haar beleid – omarmen voor het organiseren van de bedrijfsactiviteiten. Veelal zijn in de baselines eisen uit relevante wetgeving opgenomen. 
  4. Documenteren van bevindingen en rapporteren: Tijdens een DPIA-onderzoek leggen de onderzoekers hun bevindingen systematisch vast. Zorgvuldig onderzoek kenmerkt zich door verslagen van gesprekken met medewerkers af te stemmen en onderzoekstappen reproduceerbaar te maken. Het gaat er om de betrokken medewerkers inzichten te geven waarom en hoe bedrijfsactiviteiten beter georganiseerd kunnen worden. Het proces van het uitvoeren van een DPIA is veelal belangrijker dan de uitkomsten. Het doel van de DPIA bepaalt de vorm van de rapportage. Veelal volstaat een toegankelijk verslag van bevindingen en aanbevelingen.

Wat is de samenhang met compliance en wat zijn de gebieden van onderzoek? 

Een compliance-aanpak of treffen van maatregelen van administratieve organisatie en interne controle gaan over het organiseren van bedrijfsactiviteiten met behulp van bedrijfsprocessen waarin de maatregelen zijn opgenomen. De DPIA richt zich op het vaststellen dat de beheersmaatregelen effectief hebben gefunctioneerd. 

Heeft u vragen of wilt u een afspraak maken? 

Heeft u vragen over het organiseren, implementeren of uitbouwen van het beschermen van persoonsgegevens? Onze service-eigenaar, André Biesheuvel of één van zijn collega’s, bespreekt graag uw specifieke casus.

Contact opnemen