In gesprek over ‘een DPIA die past bij uw bedrijf’

Mag ik u overtuigen van een DPIA-aanpak die mogelijk wel werkt?

Het horen dat een Data Protection Impact Assessment (DPIA) uitgevoerd moet worden, geeft menige leidinggevende en medewerker een vervelend gevoel. Zeker als er ook nog een functionaris voor gegevensbescherming (FG) rondloopt die doodleuk zegt dat je dat niet alleen moet doen voor verwerkingen waarvoor dit wettelijk verplicht is maar voor alle verwerkingen. Vragen komen op zoals ‘Waarom moet ik mijn tijd en energie hieraan besteden?‘, ‘Hoe moet dat?’ en ‘Waar moet ik beginnen?’

Mijn ervaring als externe deskundige is dat het verzoek om een DPIA uit te voeren weerstand oproept binnen een bedrijf. Het wordt gezien als een ‘poppenkast’ en ‘papieren gedoe waar je niets mee doet’. Inderdaad, als je zo naar een DPIA kijkt dan moet je het niet doen. Maar mag ik proberen je te overtuigen van een aanpak voor DPIA’s die mogelijk wel voor jouw bedrijf kan werken?

Wat is het doel van een DPIA?

Het doel van een DPIA is het inzichtelijk krijgen van de risico’s voor de bescherming van persoonsgegevens. Om dat doel te bereiken kan je als bedrijf een weg kiezen die jou de meeste toegevoegde waarde biedt. Want tijdens de reis naar dat doel kan je vele nevendoelen meenemen.

Ik ga ervan uit dat het bedrijf dat ik wil helpen een intrinsieke motivatie heeft om persoonsgegevens te beschermen. Maar vaak weet men het niet te operationaliseren, laat staan hoe te beginnen. Meestal is er dan wel een beleid, wat procedures en registers maar iedereen doet eigenlijk maar wat op zijn of haar eigen manier.

Welke voorbereidingen dienen er worden gemaakt?

Alvorens te beginnen met de aanpak, nog wat argumenten om DPIA’s voor alle verwerkingen uit te voeren:

  • Een volledig overzicht van verwerkingen ontbreekt. Ja, er is een verwerkingsregister maar niemand durft te zeggen of het register compleet is en juist gevuld is. Aan de hand van gereed gekomen DPIA’s kan het verwerkingsregister worden in/aangevuld.
  • Verwerkingen zijn niet gedocumenteerd. Het is niet beschreven hoe de datastroom is. Hoe komen de gegevens binnen, wat gebeurt er dan en met wie worden de gegevens gedeeld en welke afspraken zijn gemaakt. Tijdens een DPIA documenteer je de verwerking van begin tot eind volgens een vaste systematiek.
  • Ongeacht of een DPIA wel of niet verplicht is voor een verwerking, een verwerking moet altijd voldoen aan de wettelijke eisen. Er is omgekeerde bewijslast en je moet kunnen aantonen dat je aan de beginselen voldoet. De DPIA is ook een risicoanalyse waarin gemotiveerd wordt aangegeven welke maatregelen passend zijn voor een risico. Het vaststellen dat de maatregelen effectief zijn is ook een onderdeel van de bewijslast.
  • Het uitvoeren van een DPIA is een samenwerking van verschillende disciplines binnen het bedrijf. Door de FG of een externe deskundige een actieve rol hierin te laten spelen wordt gaandeweg steeds meer awareness verspreid binnen het bedrijf. Medewerkers gaan zich verantwoordelijk voelen en gaan steeds meer cases aandragen, waaronder verwerkingen die eerder niet onderkend werden.

Het uitvoeren van DPIA’s wordt vaak als extra werk gezien. Dat is het ook als er niets is vastgelegd en informatie bij veel verschillende medewerkers (of extern) aanwezig is. Toch lijkt het me beter om deze informatie te verzamelen tijdens een DPIA in een tempo dat het bedrijf aankan dan dat door een externe gebeurtenis (bijvoorbeeld datalek) alsdan alle informatie onder hoge tijdsdruk verzameld moet worden.

Wat is mijn aanpak?

Een bedrijf bestaat vaak uit meerdere afdelingen en elke afdeling heeft zijn eigen cultuur. Een afdeling kan ook onderbezet zijn waardoor het moeilijk wordt om extra werk uit te voeren. 

Ik start daarom met het bezoeken van de afdelingen om de bereidheid en de mogelijkheden te bespreken. Ik heb liever een rustiger tempo én bereidheid dan het afchecken van een DPIA zonder inhoudelijke waarde. Samen met de leiding en medewerkers van de afdeling kan een agenda opgesteld worden wanneer een DPIA voor een verwerking wordt uitgevoerd. 

Sommige afdelingen willen met een eenvoudige verwerking beginnen, andere afdelingen met de meest risicovolle verwerking. Vaak wordt een team binnen de afdeling samengesteld dat de DPIA gaat uitvoeren. Dat team train ik zodat begrepen wordt wat een DPIA is en ik leg de meest essentiële onderwerpen uit de wetgeving uit. 

Tijdens het uitvoeren van de DPIA kan ik hierdoor steeds een link maken tussen de theorie en de praktijk. Ik zorg dat er een sjabloon DPIA is waarin alle facetten die aan de orde moeten komen zijn opgenomen met de mogelijkheid om per item een toelichting te krijgen. Dit sjabloon is bedrijfsspecifiek gemaakt zodat medewerkers hun bedrijfsactiviteiten herkennen.

Wat is de toegevoegde waarde?

Het is leuk om te zien dat de medewerkers het uitvoeren van een DPIA steeds enthousiaster worden. Het is even een omslag in denken omdat een DPIA uitgaat van de risico’s voor de betrokkenen en medewerkers gewend zijn om te denken vanuit risico’s voor het bedrijf. Zeker omdat een DPIA het proces van begin tot eind bestrijkt, krijgen medewerkers veel beter inzicht wat er gebeurt met de persoonsgegevens en het proces. Regelmatig wordt gesignaleerd dat de gegevens niet efficiënt worden verwerkt of gedeeld worden met derde partijen zonder goede afspraken en controle op naleving van deze afspraken. 

Als het mogelijk is, wordt tijdens de DPIA verbeteringen doorgevoerd. Anders komen ze op een actielijst en houdt de FG toezicht op tijdige afhandeling hiervan. In feite is dit pleisters plakken. Dat gaan de medewerkers ook inzien en bijna vanzelf komt de wens om een DPIA in een zo vroeg mogelijk stadium te doen (zoals een DPIA eigenlijk bedoeld is). De medewerkers weten nu hoe dat moet en weten wat de requirements moeten zijn voor de bouw of aankoop van applicaties of het uitbesteden van onderdelen van een verwerking. Dan komt het bedrijf in eigen kracht te staan.

Wat is de nazorg van een DPIA?

De DPIA is neergezet als een momentopname maar zal steeds meer het instrument worden om de verwerking tijdens de hele levenscyclus te documenteren en te bewaken. De afdeling kan zelf bepalen wanneer de DPIA moet worden herzien, met een minimum van 1x per 3 jaar. 

Omdat de medewerkers bij elke DPIA ‘groeien’ in hun kennis en ervaring, zal bij elke herziening van de DPIA deze in kwaliteit stijgen. Medewerkers gaan de bescherming van persoonsgegevens verinnerlijken en u zult een betere kwaliteit van producten en diensten naar klanten zien.

Ten slotte

In deze blog heb ik mijn ervaringen beschreven die ik opgedaan heb bij verschillende bedrijven. Ik kom dus niet aan met een standaard aanpak maar met een luisterend oor en een koffer met mogelijkheden. De DPIA zie ik voornamelijk als een hulpmiddel om te ondersteunen het bedrijf volwassener te laten worden om persoonsgegevens te beschermen en de medewerkers hierbij mee te nemen.

Mijn kennis en ervaring is breed en bestaat uit kennis van de AVG en aanpalende wetgeving, risicomanagement, auditvaardigheden en IT-kennis. Deze algemene kennis en ervaring kan ik goed toepassen bij het begeleiden van DPIA’s omdat ik processen snel kan doorzien en ook oog heb voor risico’s en de beheersing hiervan. Wilt u meer van mij weten, kijk dan hier.

Ik ga graag het gesprek aan om samen te verkennen op welke wijze binnen uw bedrijf DPIA’s uitgevoerd kunnen worden zodat de DPIA geen ‘moetje’ wordt maar een ‘ja, graag’.

Vragen? Neem contact met ons op en bespreek uw behoefte

Wij staan voor u klaar uw specifieke situatie te bespreken en een passend plan van aanpak met u te bespreken. Neem contact op met Caroline Willemse AA RE RFG.