Jouw organisatie gaat met een nieuw systeem of een nieuw proces werken. En er zijn persoonsgegevens bij betrokken… Dan is het vaak niet lang wachten op de vraag: ‘Moeten we een DPIA uitvoeren?’
Sinds het invoeren van de AVG in 2018 is de beveiliging van persoonsgegevens een actueler thema dan ooit. Gemeenten en andere (overheids)organisaties verwerken persoonsgegevens op grote schaal en zijn dus kwetsbaar voor datalekken en andere beveiligingsrisico’s. Preventie en beheersing van privacyrisico’s is dus cruciaal.
Om de privacyrisico’s bij gegevensverwerkingen in kaart te brengen, is er de DPIA (Data Protection Impact Assessment), een vragenlijst die ingevuld wordt door de betrokkenen bij een gegevensverwerking. Maar wat is het juiste moment voor een DPIA en hoe zorg je ervoor dat jouw organisatie genoeg tijd en draagkracht heeft?
KBenP Digitale Overheid heeft een DPIA-pilot afgerond in samenwerking met de gemeente Dronten. De gemeente heeft een nieuw zaaksysteem geïmplementeerd en wilde de privacyrisico’s in kaart brengen met een DPIA. Tijdens dit traject hebben wij vijf belangrijke lessen geleerd:
Tijd en zin vrijmaken bij de kerngroep is een uitdaging
Om de DPIA-vragenlijst correct in te vullen heb je meerdere mensen met verschillende expertises nodig: je kerngroep. Ook als je het DPIA-traject kort wil houden, zal je een paar uren of dagdelen een beroep op ze moeten doen. Dit zijn vaak mensen die het druk hebben met de implementatie en bepaald geen lege agenda hebben.
Betrek de kerngroep bij de urgentie van het DPIA-traject door de tijd te nemen om het belang van een DPIA uit te leggen. Benadruk het belang van hun expertise en maak ze mede-eigenaar van het traject.
De kerngroep samenstellen: mix van proceskennis en privacykennis
Voor een geslaagd DPIA-traject heb je mensen nodig met veel kennis van privacyrisico’s en -maatregelen. Maar de eerste stap is een grondig inzicht in specifieke processen waarbinnen de persoonsgegevens verwerkt worden.
In je kerngroep heb je dus privacykenners nodig én experts uit de business die de processen van A tot Z kennen.
Zoek de balans tussen een grondig en functioneel DPIA-traject
Een DPIA doe je niet voor niets. Het is van groot belang om de privacyrisico’s in kaart te brengen. Maar je kerngroep heeft ook geen onbeperkte tijd. Als een DPIA te veel tijd in beslag neemt, kan het begrip omslaan in weerstand én de voortgang van het algehele implementatieproject in gevaar komen. Dit is zeker het geval als het een DPIA voor een compleet nieuw systeem betreft.
De juiste balans vinden is niet gemakkelijk, maar ook niet onmogelijk. Doe bijvoorbeeld een DPIA-light over het algehele systeem om algemene privacyrisico’s in kaart te brengen en selecteer vervolgens de kwetsbare processen voor een uitgebreidere sessie.
En deze afweging hoef je niet alleen te maken! Schakel met andere privacy-experts, de opdrachtgever en de kerngroep om de juiste balans te houden.
Plan voldoende researchtijd in voor de blinde vlekken
Privacyrisico’s van een proces in kaart brengen klinkt goed, maar hoe werkt dat proces ook alweer precies? Welke versie van het webformulier wordt nu gebruikt en welke persoonsgegevens worden soms aanvullend uitgevraagd? En wat is status van de autorisatiematrix?
Zomaar een greep uit vragen die op kunnen komen tijdens het invullen van een DPIA-vragenlijst. Deze blinde vlekken moeten ingekleurd worden en dit kost tijd. Het is dan ook handig om bijvoorbeeld twee weken tussen sessies in te plannen, zodat de privacyexperts en de procesexperts hun uitzoekwerk kunnen doen.
Er is geen perfect moment voor een DPIA (maar de timing is toch belangrijk)
Een veelgehoorde vraag: moeten we onze DPIA doen vóór de implementatie van het systeem of proces, of juist erna?
Een duidelijk voordeel van een DPIA vóór de implementatie is de mogelijkheid tot privacy by design. Inrichtingskeuzes kunnen direct gestuurd worden door de privacymaatregelen die tijdens het DPIA-traject opgesteld zijn.
Maar een vroege DPIA kan soms ook tot verwarring leiden, zeker bij de procesexperts. ‘Ik weet nog niet hoe het proces eruit gaat zien, dus ik kan deze vragen niet beantwoorden,’ hoorden wij vaak als reactie. Dit probleem bestaat niet bij een DPIA tijdens of na de implementatie, wanneer veel inrichtingskeuzes al gemaakt zijn. Een belangrijk nadeel: niet alle keuzes zijn even gemakkelijk terug te draaien. Alle voordelen van privacy by design vallen weg.
Wij raden aan om de DPIA zo vroeg mogelijk te houden, voordat er strakke inrichtingskeuzes gemaakt zijn. Niet alles zal dan al uitgetekend zijn, maar dit kan juist grote kansen opleveren: processen die fundamenteel privacyvriendelijk vormgegeven zijn.
En een laatste tip… Vergeet niet dat een DPIA nooit ‘af’ is! Omstandigheden en inzichten veranderen voortdurend. Bepaal dus zelf een eindpunt voor jouw specifieke DPIA en vergeet de periodieke DPIA vervolgens niet!
Heb jij onze handreiking voor DPIA-trajecten al gelezen? Deze handreiking wordt constant vernieuwd met nieuwe inzichten en is kosteloos op te vragen via klaske.schep@kbenp.nl. Voel je ook vrij om een email te sturen en naar de mogelijkheden te informeren wanneer jouw organisatie ondersteuning zoekt bij een DPIA-traject!