Sinds het invoeren van de AVG in 2018 is de beveiliging van persoonsgegevens een actueler thema dan ooit. Gemeenten en andere (overheids)organisaties verwerken persoonsgegevens op grote schaal en zijn dus kwetsbaar voor datalekken en andere beveiligingsrisico’s. Preventie en beheersing van privacyrisico’s is bij deze organisaties cruciaal. Hier krijgen wij, als adviseurs van KBenP Digitale Overheid, steeds vaker mee te maken. Om in de kennisbehoefte te voorzien, hebben wij een handreiking geschreven om DPIA-uitvoeringen te ondersteunen. In deze reeks zullen wij wekelijks een fragment uit dit handboek publiceren. Vandaag deel 1 van de reeks: Wat is een DPIA?
Wil je liever het hele handboek lezen of in persoon een keer overleggen over DPIA’s? Stuur dan een bericht naar klaske.schep@kbenp.nl.
Een DPIA: wat is het?
Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt, moet er een DPIA uitgevoerd worden.
Een goed uitgevoerde DPIA geeft inzicht in de risico’s die de verwerking oplevert voor de betrokkenen en in de maatregelen die de verantwoordelijke moet nemen om de risico’s af te dekken, en een overzicht van de restrisico’s. Een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. Het is belangrijk dat er blijvend gemonitord wordt of de gegevensverwerking verandert. Dit kan zijn als de organisatie nieuwe technologie gaat gebruiken. Of als eerder verzamelde persoonsgegevens voor een nieuw doel gebruikt gaan worden.
Hoe wordt een DPIA uitgevoerd?
Een DPIA wordt uitgevoerd door de verantwoordelijke (degene die bepaalt dat er gegevens verwerkt moeten worden, met welk doel en met welke middelen). De verantwoordelijk dient advies in te winnen bij de Functionaris Gegevensbescherming.Als de verantwoordelijke delen van het project uitbesteedt, moeten alle betrokken partijen hun medewerking aan de DPIA verlenen.
Eerst wordt er gekeken welke persoonsgegevens er verwerkt gaan worden en waarom. Zijn alle gegevens die worden gebruikt ook noodzakelijk? Wie heeft er toegang? Waar worden gegevens opgeslagen en zijn ze op de juiste wijze beveiligd?
Naar aanleiding van een DPIA moeten vaak maatregelen worden genomen om een project ‘privacyvriendelijker’ te maken, door bijvoorbeeld minder gegevens op te vragen en/of de gegevens beter te beveiligen.
Wat is de meerwaarde van een DPIA?
Een DPIA is vooral richtinggevend. Door het model te volgen, kunnen relevante privacyrisico’s die eerder in de ontwikkeling niet waren herkend aan het licht komen. Als dat het geval is, is het noodzakelijk om deze aspecten alsnog in de voorbereiding mee te nemen. Een DPIA helpt zo ook met het vermijden van onnodige kosten (als deze problemen bijvoorbeeld pas in een later stadium waren ontdekt).
Daarnaast is een DPIA corrigerend. Tijdens het uitvoeren van een DPIA kan blijken dat het nodig is om eerdere keuzes te heroverwegen. Het kan dus voorkomen dat in een eerder stadium gemaakte keuzes bij nadere beschouwing niet goed genoeg kunnen worden onderbouwd ten opzichte van de hiermee gepaard gaande veiligheidsrisico’s.
Het uitvoeren van een DPIA kan zorgen voor vertrouwen in de voorgenomen maatregel, binnen én buiten de organisatie. Het verzamelen van de informatie voor het beantwoorden van veiligheidsvragen helpt medewerkers en leidinggevenden bij de besluitvorming en het afleggen van verantwoording.