Vanuit de AVG en BIO moet je als gemeente diverse (verplichte) maatregelen uitvoeren. Zo geldt voor gegevensverwerkingen met een hoog privacyrisico dat je eerst een Data Protection Impact Assessment (DPIA) moet doen. Het uitvoeren van een DPIA is niet altijd eenvoudig. In deze blog lees je daarom wat een DPIA precies is, wanneer je een DPIA uitvoert en welke stappen daarbij worden doorlopen.
Een DPIA, oftewel een Data Protection Impact Assessment of een Gegevensbeschermingseffectbeoordeling (GEB), is een onderzoek dat als doel heeft de privacyrisico’s van een bepaalde gegevensverwerking in kaart te brengen. Ook laat het zien waar maatregelen nodig zijn om deze risico’s te verminderen of te voorkomen. Een DPIA geeft inzicht in de dataverwerkende processen en de privacyrisico’s voor betrokkenen, zoals medewerkers en burgers. Door het uitvoeren van een DPIA krijg je inzichtelijk wat er moet gebeuren om de bescherming van persoonsgegevens te waarborgen en verhoog je de kwaliteit van de besluitvorming binnen een bepaald proces. Daarnaast kan je door dit inzicht maatregelen nemen om de privacyrisico’s te verminderen en de privacy van betrokkenen te beschermen.
Je voert een DPIA uit als je een nieuw systeem of proces gaat invoeren (of aanpassen), waarbij je persoonsgegevens gaat verwerken met een hoog privacyrisico óf als je nog bezig bent met het implementeren van de AVG-wetgeving en nog niet alle hoge risicoprocessen hebt voorzien van een DPIA. In de praktijk is namelijk gebleken dat dit niet zo snel gaat als aanvankelijk werd gedacht.
De meeste organisaties nemen de nieuwe systemen/processen wel mee in het DPIA-proces, maar moeten op de al geïmplementeerde processen/systemen nog een DPIA uitvoeren.
Als verwerkingsverantwoordelijke moet je zelf bepalen of er een hoog privacyrisico is. Is dat het geval, dan mag je niet beginnen met het verwerken van gegevens voordat je een DPIA hebt uitgevoerd. Neem bijvoorbeeld de inzet van cameragebruik of de ontwikkeling van een nieuw project of nieuwe software waarmee persoonsgegevens worden verwerkt. Het is vanuit de Algemene Verordening Gegevensbescherming (AVG), artikel 35 Gegevensbeschermingseffectbeoordeling, verplicht om bij deze verwerkingen vooraf te bepalen waar mogelijke privacyrisico’s liggen. Voor sommige verwerkingen is het altijd verplicht om een DPIA uit te voeren vóór je met verwerken begint. Om welke verwerkingen dit gaat, lees je op deze pagina van de Autoriteit Persoonsgegevens (AP). In deze gevallen heb je als verwerkersverantwoordelijke dus geen vrije keuze, omdat het risicoprofiel al bepaald is door de AP. Omdat je bij een proces met een hoog privacyrisico niet mag beginnen met het verwerken van gegevens voordat je een DPIA hebt uitgevoerd, zal het uitvoeren van een DPIA in een vroeg stadium van het project moeten worden meegenomen. Het is aan te raden dit al te doen in de ontwerpfase van een gegevensverwerking. Zo voldoe je ook gelijk aan de principes van Privacy by Design.
Meestal wordt de DPIA uitgevoerd door de proceseigenaar met hulp van de Privacy Officer (PO). Maar dit kan ook anders, zie mijn eerdere blog ‘Help! Een dataclassificatie, DPIA en een BIA?!’. Er zijn verschillende manieren om een DPIA uit te voeren. Welke methode je kiest is aan jou. In de DPIA moeten in ieder geval de volgende onderdelen terugkomen:
Hieronder een toelichting per onderdeel:
Het is heel erg belangrijk dat je een goed beeld hebt van het proces waarbinnen de verwerking plaatsvindt. Op welke wijze worden de gegevens ontvangen binnen het proces? Is dit van de burger zelf, krijg je de gegevens vanuit een andere instantie of vanuit het Basis Register Persoonsgegevens (BRP)? Binnen de procesanalyse kijk je naar wat er met deze gegevens gebeurt gedurende het proces. Ofwel, wat doe je er mee? Denk aan raadplegen, wijzigen, aanvullen, opslaan. Daarnaast neem je mee wat er uiteindelijk met deze gegevens gebeurt. Verstrek je deze gegevens bijvoorbeeld aan een andere partij? Denk hierbij aan camerabeelden die verstrekt worden aan de politie of gegevens die verstrekt worden aan de diverse samenwerkingen binnen het Sociaal Domein.
Het doel van een procesanalyse is om een duidelijk beeld te krijgen van de context waarin de gegevens worden gebruikt. Daarbij kijk je niet alleen naar het proces zelf, maar ook naar de middelen die binnen het proces worden gebruikt. Welke software wordt gebruikt? Waar worden de gegevens opgeslagen? Zijn hier leveranciers bij betrokken? En zijn er procesbeschrijvingen of werkinstructies beschikbaar, waarin staat hoe met de gegevens gewerkt moet worden?
Wanneer het proces helder is, kun je de AVG erbij pakken en kijken naar de diverse onderdelen die binnen een DPIA van belang zijn. Dit zal met name de volgende onderdelen bevatten:
Wanneer alle risico’s met betrekking tot bovenstaande onderdelen in kaart zijn gebracht, is het noodzakelijk om een analyse uit te voeren op deze risico’s. Hierbij wordt per risico gekeken naar de impact en kans van deze risico’s. Vervolgens worden de mogelijke maatregelen in kaart gebracht om deze risico’s te beperken. Dit is het meest belangrijke onderdeel van de DPIA! Hierbij is het wellicht ook noodzakelijk de samenwerking op te zoeken met de proceseigenaar/lijnmanager, de Security Officer/CISO of de leverancier. De maatregelen moeten dus niet alleen door de Privacy Officer worden gedefinieerd. Ook zullen de maatregelen niet allen technisch van aard zijn, maar kunnen ook organisatorisch worden ingericht (meer een aanpassing van het proces dan de techniek). Op basis van deze informatie wordt namelijk geconcludeerd of er aan de privacyeisen kan worden voldaan.
Na afronding van een DPIA stel je als PO een rapportage op. Deze rapportage leg je ter review voor aan de Functionaris Gegevensbescherming (FG). Na de reviewronde worden eventuele aanvullingen gedaan en wordt de rapportage definitief opgeleverd. Komt uit de DPIA naar voren dat de verwerking van persoonsgegevens een hoog risico oplevert en lukt het niet om (voldoende) maatregelen te treffen om dit risico te beperken? Dan moet je als gemeente met de AP overleggen voordat je met de verwerking start.
Een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. Je moet altijd blijven monitoren of je gegevensverwerking verandert. Bijvoorbeeld als de gemeente een nieuwe technologie gaat gebruiken, procesaanpassingen maakt of wanneer persoonsgegevens voor een ander doel worden gebruikt. In deze situaties verandert je gegevensverwerking namelijk in een nieuwe gegevensverwerking. En dan kan een DPIA verplicht zijn. Vanwege deze veranderingen is het aan te raden om periodiek een DPIA te herijken.
Er zijn diverse handreikingen ontwikkeld om gemeenten te helpen bij het uitvoeren van een DPIA. Zo heeft de Informatiebeveiligingsdienst voor gemeenten (IBD) de integrale risico- en privacy-analyse (IRPA) tool beschikbaar gesteld voor gemeenten en heeft NOREA, de beroepsorganisatie van IT-auditors in Nederland, een ‘Handreiking Data Protection Impact Assessment’ beschikbaar gesteld.
Meer informatie?
Onze privacy specialisten helpen jouw gemeenten graag met het uitvoeren van een DPIA. Dus heb je na het lezen van deze blog vragen of hulp nodig bij het uitvoeren van een DPIA? Laat ons dit dan weten en neem contact met ons op.
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!
Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap