Stel je voor – in jouw organisatie wordt een nieuw systeem geïntroduceerd waarin gewerkt wordt met gegevens van burgers. Dankzij dit systeem kunnen je collega’s sneller, gemakkelijker en intuïtiever werken. Klinkt ideaal. Maar de vraag luidt al snel: ‘Moeten we niet een DPIA uitvoeren?’
Wat is een DPIA?
De Data Protection Impact Assessment (DPIA) is bedoeld om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Een DPIA is dus een meetinstrument, vaak in de vorm van een vragenlijst. Benieuwd hoe zo’n vragenlijst eruit ziet? Bezoek dan bijvoorbeeld eens de website www.informatiebeveiligingsdienst.nl.
Als een gegevensverwerking, in bijvoorbeeld een nieuw aangeschaft zaaksysteem, mogelijk een privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt, moet er een DPIA uitgevoerd worden. Vervolgens moet de uitvoerende partij maatregelen nemen om deze risico’s weg te nemen of te verkleinen.
Een DPIA: waarom?
Er worden steeds hogere eisen gesteld aan de veiligheid van persoonsgegevens en de privacy van de burgers en medewerkers. Door de komst van nieuwe technologieën worden steeds meer persoonsgegevens verwerkt en opgeslagen, ook bij overheden. Wanneer dit mis gaat en er bijvoorbeeld datalekken optreden, heeft dit grote consequenties voor het imago van en vertrouwen in de overheid.
De afgelopen jaren is de wet- en regelgeving op de omgang met persoonsgegevens daarom verscherpt. Dit is onder andere zichtbaar door de komst van de Algemene Verordening Gegevensbescherming (AVG) in 2018. Dit is de Nederlandse vertaling van Europese Privacywetgeving. Vanuit de AVG is het uitvoeren van een DPIA verplicht wanneer een overheidsorganisatie persoonsgegevens verwerkt met een hoog privacyrisico. Wanneer de AVG een DPIA precies verplicht stelt, is te vinden op de website https://autoriteitpersoonsgegevens.nl/.
Hoe moet je een DPIA uitvoeren?
Een DPIA wordt uitgevoerd door de verantwoordelijke (degene die bepaalt dat er gegevens behorend tot een bepaald proces verwerkt moeten worden om het proces juist uit te kunnen voeren, met welk doel en met welke middelen). Vaak is dit de proceseigenaar. De verantwoordelijke dient advies in te winnen bij de Functionaris Gegevensbescherming binnen de organisatie. Het is raadzaam om een DPIA zo snel mogelijk uit te voeren, zodra bekend is welke gegevens er precies verwerkt zullen worden. Zo kan er nog tijdig ingespeeld worden op eventuele veiligheidsrisico’s die door de DPIA naar boven kunnen komen.
Eerst wordt de vraag gesteld welke persoonsgegevens er verwerkt gaan worden en waarom. Zijn alle gegevens die worden gebruikt ook noodzakelijk? Wie heeft er toegang? Waar worden gegevens opgeslagen en zijn ze op de juiste wijze beveiligd?
Naar aanleiding van een DPIA moeten vaak maatregelen worden genomen om een project ‘privacyvriendelijker’ te maken, door bijvoorbeeld minder gegevens op te vragen en/of de gegevens beter te beveiligen. De resultaten worden verwerkt in een DPIA-rapportage. Het is aan te raden om deze rapportage te publiceren als de uitkomsten een grote impact kunnen hebben op de samenleving.
Wat is de meerwaarde van een DPIA?
Ten eerste kan het uitvoeren van een DPIA simpelweg wettelijk verplicht zijn, bijvoorbeeld wanneer er een hoog risico bestaat op privacyschending van de betrokkenen bij de gegevensverwerking. Organisaties die dergelijke verplichte DPIA’s niet uitvoeren, riskeren hoge boetes.
Echter is het ook raadzaam om een DPIA uit te voeren als dit niet per se wettelijk verplicht is. Een DPIA is namelijk tevens richtinggevend. Door het model te volgen, kunnen relevante privacyrisico’s die eerder in de ontwikkeling niet waren herkend aan het licht komen. Daarnaast is een DPIA corrigerend. Tijdens het uitvoeren van een DPIA kan blijken dat het nodig is om eerdere keuzes te heroverwegen. Deze vorm is vooral interessant tijdens een aanbesteding. Het is nog niet bekend welk systeem het gaat worden maar het is wel duidelijk dat er gegevens verwerkt gaan worden. Op deze manier kan binnen het aanbestedingsproces rekening gehouden worden met privacy en wordt de daadwerkelijke DPIA later vereenvoudigd.
Kortom, het uitvoeren van een DPIA kan zorgen voor meer vertrouwen, binnen en buiten de organisatie. Het verzamelen van de informatie voor het beantwoorden van veiligheidsvragen helpt medewerkers en leidinggevenden bij de besluitvorming en het afleggen van verantwoording. Meer weten over het uitvoeren van een DPIA? De adviseurs van KBenP helpen hierbij! Neem snel contact op via sven.blom@kbenp.nl.
