Voor gegevensverwerkingen met een hoog privacyrisico geldt dat je een Data Protection Impact Assessment (DPIA) moet uitvoeren. Vorige maand schreef ik al een blog over hoe je een DPIA uitvoert. Maar wat doe je met de uitkomsten en hoe zorg je ervoor dat een DPIA geen eenmalige actie is maar over een bepaalde tijd herhaald wordt?

DPIA-rapportage

Met een DPIA breng je de privacyrisico’s van een bepaalde gegevensverwerking in kaart. Wanneer en hoe je dit doet, lees je in mijn eerdere blog ‘Hoe voer je een DPIA uit?’. Na afronding van de DPIA maakt de Privacy Officer (PO), in afstemming met de Functionaris Gegevensbescherming (FG), een rapportage. Deze rapportage wordt gegeeld met de belangrijkste stakeholders, waaronder de lijnmanagers (vaak ook proceseigenaren) die verantwoordelijk zijn voor het proces. Zij moeten de resultaten ontvangen en actie ondernemen, zoals het aanvragen van budget om de aanbevolen maatregelen te nemen. Wanneer de DPIA wordt uitgevoerd bij de start van een nieuw proces of systeem, kunnen deze aanvullende maatregelen meteen worden meegenomen in het project. Informeer in dat geval ook de projectleider over de uitkomsten van de DPIA. Tot slot, zal de FG waarschijnlijk in zijn jaarrapportage aangeven welke DPIA’s er zijn uitgevoerd.

Risico’s

Als de DPIA goed is uitgevoerd, geeft deze inzicht in de risico’s die de gegevensverwerking met zich meebrengt voor de betrokkenen. Deze risico’s moeten daarom worden vermeld in de eindrapportage van de DPIA. Vervolgens moet er een beslissing worden genomen over wat er met deze risico’s moet gebeuren. Worden ze verminderd (gemitigeerd), geaccepteerd of vermeden? Als er wordt besloten om de risico’s te verminderen, moeten er maatregelen worden genomen om de privacyrisico’s te verminderen.

Maatregelen

In dat geval moet er een keuze worden gemaakt over welke maatregelen worden geïmplementeerd. Vaak staan deze maatregelen al beschreven in de DPIA. Om deze verschillende maatregelen te nemen, is samenwerking tussen verschillende disciplines binnen de gemeente nodig. Zo kan je organisatorische maatregelen nemen, zoals meer bewustwording, betere procedures en werkinstructies en technische maatregelen, zoals een aanscherping van de toegangscontrole door middel van tweefactorauthenticatie. De lijnmanager heeft hierin een belangrijke rol, hij/zij is verantwoordelijk voor de implementatie en zal het proces moeten coördineren (of organiseren dat dit gecoördineerd wordt) om er voor te zorgen dat de juiste maatregelen worden geïmplementeerd voor het proces.

Hieronder enkele voorbeelden van risico’s met bijhorende maatregelen die genoemd kunnen worden in een DPIA:

Risico: De wijze waarop het proces is ingericht, kan ertoe leiden dat onbevoegden de gegevens kunnen raadplegen.
Maatregel: Zorg voor logische toegangsbeveiliging

Dit kan door middel van wachtwoorden, het toekennen van autorisaties voor bepaalde applicaties of een extra wachtwoord/code via een token, sms of app (tweefactorauthenticatie). Zo gebruik je bijvoorbeeld een wachtwoord én token om in te loggen op het gemeentelijke netwerk. Hoe je dit doet lees je in onze blog ‘Weet jij wie je binnenlaat? Het managen van toegangsbeveiliging’.

Risico: De gegevens kunnen mogelijk van buitenaf gewijzigd worden.
Maatregel: Maak gebruik van encryptie

Encryptie is een manier om gegevens te beveiligen (versleutelen) door ze onleesbaar te maken zodat onbevoegden de informatie niet kunnen inzien. Simpelweg wordt informatie vervangen door andere tekens, waardoor de originele informatie niet meer te herkennen is. Alleen wanneer je over de ‘sleutel’ beheerst, kun je de originele gegevens opvragen en inzien. Lees meer over encryptie in onze eerdere blog over het toepassen van encryptie.

Risico: Er is kans op misbruik van gegevens
Maatregel: Maak gebruik van logging

Logging is een geautomatiseerde registratie van gegevens, die bedoeld is om bij te houden welke gebeurtenissen/ handelingen binnen een systeem hebben plaatsgevonden. Bijvoorbeeld wie bepaalde gegevens heeft bekeken of heeft aangepast.

Risico: Het is onduidelijk welke afspraken er zijn gemaakt binnen het proces
Maatregel: Zorg voor bewustwording bij medewerkers

Vaak is er een concrete maatregel waarin ook specifiek wordt aangegeven dat de bewustwording meegenomen moet worden. Elke collega moet zich namelijk bewust zijn van de risico’s en zijn eigen handelen als het gaat om informatiebeveiliging en privacy. Vanaf het moment dat je binnenkomt tot het moment dat je vertrekt. De lijnmanager heeft hierin een voorbeeldrol richting zijn medewerkers en collega’s. Wat betreft bewustwording creëren is ons eigen boek of onze eerdere blog ‘Je medewerkers beveiligen hoe doe je dat?’ een aanrader om eens te lezen.

Risico: Het is onduidelijk welke afspraken er zijn gemaakt met de verwerker
Maatregel: Zorg voor duidelijke afspraken in een verwerkersovereenkomst

Vanuit de Algemene Verordening Gegevensbescherming (AVG) ben je als organisatie verplicht om de persoonsgegevens die je verwerkt goed te beveiligen. Dit geldt ook wanneer je persoonsgegevens laat verwerken door een derde partij. Jouw organisatie blijft namelijk altijd eindverantwoordelijke. Om ervoor te zorgen dat de verwerker ook de juiste beveiligingsmaatregelen treft, moet je afspraken maken met de verwerker en deze vastleggen in een verwerkersovereenkomst. Lees onze eerdere blog voor handige tips m.b.t. het opstellen van een verwerkersovereenkomst.

Risico: Het is onduidelijk wat de rechten van betrokkenen zijn
Maatregel: Informeer burgers over hun rechten en richt intern het proces in

Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens; ook wel ‘rechten van betrokkenen’ genoemd. Je bent als gemeente verplicht de burger duidelijk te informeren over de manier waarop zij deze rechten kunnen uitoefenen. Zorg voor een duidelijk beleid over hoe betrokkenen hun rechten kunnen uitoefenen en publiceer dit beleid op de gemeentelijke website of in het gemeenteblad. In onze blog ‘Rechten van betrokkenen binnen een gemeentelijke context’ lees je hier meer over.

Let op: Bovenstaande risico’s en maatregelen zijn ter illustratie, er kunnen andere risico’s zijn en meerdere maatregelen kunnen noodzakelijk zijn om de genoemde risico te mitigeren.

Monitoren

Wanneer de rapportage met risico’s en maatregelen is opgeleverd en de juiste maatregelen zijn geïmplementeerd, is het belangrijk om te monitoren of de maatregelen daadwerkelijk zijn geïmplementeerd en effectief zijn om de geconstateerde risico’s te verminderen. Hierbij komt de bekende Plan-Do-Check-Act (PDCA) cyclus om de hoek kijken en wordt duidelijk dat een DPIA uitvoeren geen eenmalige actie is, maar een continu proces. Het is belangrijk om te blijven monitoren of je gegevensverwerking verandert. Bijvoorbeeld als de gemeente een nieuwe technologie gaat gebruiken, procesaanpassingen maakt of wanneer persoonsgegevens voor andere doeleinden worden gebruikt. In deze situaties verandert de gegevensverwerking in een nieuwe gegevensverwerking en kan een nieuwe DPIA verplicht zijn. Vanwege deze veranderingen wordt aangeraden om periodiek te monitoren of een DPIA moet worden herzien en geactualiseerd. Ook hier hebben de lijnmanagers weer een belangrijke rol in het initiëren hiervan, zij hebben namelijk zicht op welke wijzigingen er binnen de afdeling plaatsvinden.

Meer informatie?

Heb je na het lezen van deze blog vragen of hulp nodig op dit vlak? Of heb je interesse voor een interne workshop binnen de organisatie (met alle relevante stakeholders) over het uitvoeren van DPIA’s en wat te doen met de resultaten? Laat ons dit dan weten en neem contact met ons op.