Vanuit de AVG en BIO moet je als gemeente diverse (verplichte) maatregelen uitvoeren. Zo geldt voor gegevensverwerkingen met een hoog privacyrisico dat je eerst een Data Protection Impact Assessment (DPIA) moet doen. Het uitvoeren van een DPIA is niet altijd eenvoudig. In deze blog lees je daarom wat een DPIA precies is, wanneer je een DPIA uitvoert en welke stappen daarbij worden doorlopen.

Wat is een DPIA?

Een DPIA, oftewel een Data Protection Impact Assessment of een Gegevensbeschermingseffectbeoordeling (GEB), is een onderzoek dat als doel heeft de privacyrisico’s van een bepaalde gegevensverwerking in kaart te brengen. Ook laat het zien waar maatregelen nodig zijn om deze risico’s te verminderen of te voorkomen. Een DPIA geeft inzicht in de dataverwerkende processen en de privacyrisico’s voor betrokkenen, zoals medewerkers en burgers. Door het uitvoeren van een DPIA krijg je inzichtelijk wat er moet gebeuren om de bescherming van persoonsgegevens te waarborgen en verhoog je de kwaliteit van de besluitvorming binnen een bepaald proces. Daarnaast kan je door dit inzicht maatregelen nemen om de privacyrisico’s te verminderen en de privacy van betrokkenen te beschermen.

Wanneer voer je een DPIA uit?

Je voert een DPIA uit als je een nieuw systeem of proces gaat invoeren (of aanpassen), waarbij je persoonsgegevens gaat verwerken met een hoog privacyrisico óf als je nog bezig bent met het implementeren van de AVG-wetgeving en nog niet alle hoge risicoprocessen hebt voorzien van een DPIA. In de praktijk is namelijk gebleken dat dit niet zo snel gaat als aanvankelijk werd gedacht.

De meeste organisaties nemen de nieuwe systemen/processen wel mee in het DPIA-proces, maar moeten op de al geïmplementeerde processen/systemen nog een DPIA uitvoeren.

Als verwerkingsverantwoordelijke moet je zelf bepalen of er een hoog privacyrisico is. Is dat het geval, dan mag je niet beginnen met het verwerken van gegevens voordat je een DPIA hebt uitgevoerd. Neem bijvoorbeeld de inzet van cameragebruik of de ontwikkeling van een nieuw project of nieuwe software waarmee persoonsgegevens worden verwerkt. Het is vanuit de Algemene Verordening Gegevensbescherming (AVG), artikel 35 Gegevensbeschermingseffectbeoordeling, verplicht om bij deze verwerkingen vooraf te bepalen waar mogelijke privacyrisico’s liggen. Voor sommige verwerkingen is het altijd verplicht om een DPIA uit te voeren vóór je met verwerken begint. Om welke verwerkingen dit gaat, lees je op deze pagina van de Autoriteit Persoonsgegevens (AP). In deze gevallen heb je als verwerkersverantwoordelijke dus geen vrije keuze, omdat het risicoprofiel al bepaald is door de AP. Omdat je bij een proces met een hoog privacyrisico niet mag beginnen met het verwerken van gegevens voordat je een DPIA hebt uitgevoerd, zal het uitvoeren van een DPIA in een vroeg stadium van het project moeten worden meegenomen. Het is aan te raden dit al te doen in de ontwerpfase van een gegevensverwerking. Zo voldoe je ook gelijk aan de principes van Privacy by Design.

De uitvoering

Meestal wordt de DPIA uitgevoerd door de proceseigenaar met hulp van de Privacy Officer (PO). Maar dit kan ook anders, zie mijn eerdere blog ‘Help! Een dataclassificatie, DPIA en een BIA?!’. Er zijn verschillende manieren om een DPIA uit te voeren. Welke methode je kiest is aan jou. In de DPIA moeten in ieder geval de volgende onderdelen terugkomen:

1. Een procesanalyse, ofwel een beschrijving van de gegevensverwerking waarin staat wat je precies gaat doen.
2. Een beoordeling van de rechtmatigheid van de gegevensverwerking.
3. Een inschatting van de privacyrisico’s en welke maatregelen nodig zijn om die risico’s te verminderen.

Hieronder een toelichting per onderdeel:

Een procesanalyse

Het is heel erg belangrijk dat je een goed beeld hebt van het proces waarbinnen de verwerking plaatsvindt. Op welke wijze worden de gegevens ontvangen binnen het proces? Is dit van de burger zelf, krijg je de gegevens vanuit een andere instantie of vanuit het Basis Register Persoonsgegevens (BRP)? Binnen de procesanalyse kijk je naar wat er met deze gegevens gebeurt gedurende het proces. Ofwel, wat doe je er mee? Denk aan raadplegen, wijzigen, aanvullen, opslaan. Daarnaast neem je mee wat er uiteindelijk met deze gegevens gebeurt. Verstrek je deze gegevens bijvoorbeeld aan een andere partij? Denk hierbij aan camerabeelden die verstrekt worden aan de politie of gegevens die verstrekt worden aan de diverse samenwerkingen binnen het Sociaal Domein.

Het doel van een procesanalyse is om een duidelijk beeld te krijgen van de context waarin de gegevens worden gebruikt. Daarbij kijk je niet alleen naar het proces zelf, maar ook naar de middelen die binnen het proces worden gebruikt. Welke software wordt gebruikt? Waar worden de gegevens opgeslagen? Zijn hier leveranciers bij betrokken? En zijn er procesbeschrijvingen of werkinstructies beschikbaar, waarin staat hoe met de gegevens gewerkt moet worden?

Een beoordeling van de rechtmatigheid van de gegevensverwerking

Wanneer het proces helder is, kun je de AVG erbij pakken en kijken naar de diverse onderdelen die binnen een DPIA van belang zijn. Dit zal met name de volgende onderdelen bevatten:

• Grondslag en doelbinding: Volgens de AVG moet er bij elke registratie van persoonsgegevens een duidelijk doel zijn gedefinieerd. Binnen gemeenten liggen deze vaak wettelijk vastgelegd, wat dan ook gelijk de grondslag is. Er zijn in totaal zes grondslagen. Zie ook mijn eerdere blog ‘Wat zijn mijn plichten als verwerkingsverantwoordelijke’, waarin ik deze grondslagen toelicht. Daarnaast moet volgens de AVG elke verwerking van persoonsgegevens voldoen aan een aantal principes:

• Juistheid: Het is belangrijk dat de gegevens van betrokkenen altijd juist zijn. Tijdens een DPIA kun je de risico’s identificeren waarbij er een mogelijkheid bestaat dat de nauwkeurigheid van deze gegevens in het geding komt en welke maatregelen er genomen kunnen worden om deze risico’s te verminderen. Een voorbeeld van zo’n maatregel is het hanteren van het vier-ogen-principe.

• Dataminimalisatie en proportionaliteit: Er mogen alleen gegevens worden verzameld die nodig zijn voor het doel van de gegevensverzameling en dit moet in verhouding staan tot de hoeveelheid gegevens die worden vastgelegd. Zo is het bijvoorbeeld niet nodig om altijd een Burgerservicenummer (BSN) op een brief te vermelden als dit geen nut heeft in deze fase van het proces. Tijdens de DPIA analyseer je welke gegevens op welk moment in het proces worden gebruikt en waarvoor ze worden gebruikt.

• Opslag: Bij het uitvoeren van een DPIA kijk je ook naar hoe gegevens worden opgeslagen en wie er toegang toe heeft. Is er bijvoorbeeld een beleid voor toegangsbeheer binnen de organisatie of zijn er nog risico’s? Als gegevens worden opgeslagen bij een leverancier, is het belangrijk om tijdens de DPIA te controleren welke afspraken er zijn gemaakt over de beveiliging van de gegevens. Hoe zijn bijvoorbeeld de bewaartermijnen geïmplementeerd in het systeem? Volgens de AVG mag je gegevens niet langer bewaren dan nodig is voor het doel waarvoor ze zijn verzameld. Gemeenten hebben vaak veel wettelijke bewaartermijnen waaraan ze moeten voldoen. Tijdens de DPIA moet worden onderzocht hoe de organisatie zich hieraan houdt en hoe het opruimen van gegevens is geregeld. Als opruimen niet mogelijk is, moet dit als risico worden gerapporteerd in de DPIA-resultaten.

• Bescherming: Tijdens de DPIA wordt gekeken naar hoe gegevens worden beschermd. Hierbij werkt de Privacy Officer samen met de Security Officer om te beoordelen hoe de beveiliging rondom het proces is ingericht. Zoals eerder genoemd, is het belangrijk om de toegang tot gegevens goed te regelen. Soms kan het voorkomen dat de verantwoordelijkheid voor de bescherming van gegevens bij de leverancier ligt. In dat geval is het belangrijk om te beoordelen of er afdoende afspraken zijn gemaakt met de leverancier over de bescherming van de gegevens.

• Transparantie en rechten van betrokkenen: Het is belangrijk dat betrokkenen op de hoogte zijn van hoe zij hun rechten kunnen uitoefenen met betrekking tot de gegevens die over hen worden verzameld. Hiervoor verwijs ik graag naar mijn eerdere blog ‘Rechten van betrokkenen binnen een gemeentelijke context’.

• Governance rollen en verantwoordelijkheden: Een cruciaal onderdeel dat vaak onderschat wordt, is het eigenaarschap van het proces, systeem en de data. Het is van belang om te achterhalen wie verantwoordelijk is voor het juist uitvoeren van de verwerking. Dit gaat verder dan enkel de eindverantwoordelijkheid van het college van B&W of de gemeentesecretaris. Het gaat om de operationele verantwoordelijkheid voor het proces en deze kan binnen organisaties op verschillende manieren ingevuld zijn, zoals bij een proceseigenaar, systeemeigenaar of data/gegevenseigenaar. Tijdens de DPIA moet onderzocht worden op welke wijze dit eigenaarschap is ingeregeld en of de taken en verantwoordelijkheden binnen de organisatie goed belegd zijn. Indien dit niet het geval is, kan dit resulteren in een risico dat in de DPIA-rapportage beschreven moet worden

Risicoanalyse

Wanneer alle risico’s met betrekking tot bovenstaande onderdelen in kaart zijn gebracht, is het noodzakelijk om een analyse uit te voeren op deze risico’s. Hierbij wordt per risico gekeken naar de impact en kans van deze risico’s. Vervolgens worden de mogelijke maatregelen in kaart gebracht om deze risico’s te beperken. Dit is het meest belangrijke onderdeel van de DPIA! Hierbij is het wellicht ook noodzakelijk de samenwerking op te zoeken met de proceseigenaar/lijnmanager, de Security Officer/CISO of de leverancier. De maatregelen moeten dus niet alleen door de Privacy Officer worden gedefinieerd. Ook zullen de maatregelen niet allen technisch van aard zijn, maar kunnen ook organisatorisch worden ingericht (meer een aanpassing van het proces dan de techniek). Op basis van deze informatie wordt namelijk geconcludeerd of er aan de privacyeisen kan worden voldaan.

DPIA afgerond en dan?

Na afronding van een DPIA stel je als PO een rapportage op. Deze rapportage leg je ter review voor aan de Functionaris Gegevensbescherming (FG). Na de reviewronde worden eventuele aanvullingen gedaan en wordt de rapportage definitief opgeleverd. Komt uit de DPIA naar voren dat de verwerking van persoonsgegevens een hoog risico oplevert en lukt het niet om (voldoende) maatregelen te treffen om dit risico te beperken? Dan moet je als gemeente met de AP overleggen voordat je met de verwerking start.

Continu proces

Een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. Je moet altijd blijven monitoren of je gegevensverwerking verandert. Bijvoorbeeld als de gemeente een nieuwe technologie gaat gebruiken, procesaanpassingen maakt of wanneer persoonsgegevens voor een ander doel worden gebruikt. In deze situaties verandert je gegevensverwerking namelijk in een nieuwe gegevensverwerking. En dan kan een DPIA verplicht zijn. Vanwege deze veranderingen is het aan te raden om periodiek een DPIA te herijken.

Hulpmiddelen

Er zijn diverse handreikingen ontwikkeld om gemeenten te helpen bij het uitvoeren van een DPIA. Zo heeft de Informatiebeveiligingsdienst voor gemeenten (IBD) de integrale risico- en privacy-analyse (IRPA) tool beschikbaar gesteld voor gemeenten en heeft NOREA, de beroepsorganisatie van IT-auditors in Nederland, een ‘Handreiking Data Protection Impact Assessment’ beschikbaar gesteld.

Meer informatie?
Onze privacy specialisten helpen jouw gemeenten graag met het uitvoeren van een DPIA. Dus heb je na het lezen van deze blog vragen of hulp nodig bij het uitvoeren van een DPIA? Laat ons dit dan weten en neem contact met ons op.