Toen de Algemene Verordening Gegevensbescherming (AVG) van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen. Denk aan het opstellen van een privacyverklaring, het ontwikkelen van beleid en het uitvoeren van Data Protection Impact Assessments (DPIA’s). Ondanks de verplichting en het belang van DPIA’s, blijkt dat maar een klein aantal gemeenten deze structureel uitvoert. In deze blog leggen we uit waarom dit zo is en welke uitdagingen gemeenten tegenkomen.

Download hier een pdf van deze blog

Wat is een DPIA?

Een DPIA, oftewel een Data Protection Impact Assessment, is een onderzoek naar privacyrisico’s bij een bepaalde gegevensverwerking. Het laat zien waar maatregelen nodig zijn om risico’s te verminderen of te voorkomen. Een DPIA geeft inzicht in de processen en de risico’s voor betrokkenen, zoals medewerkers en burgers. Door het uitvoeren van een DPIA weet je wat er moet gebeuren om persoonsgegevens te beschermen en kun je betere beslissingen nemen binnen een bepaald proces.

Voorwaarden voor een goede DPIA

Om een goede DPIA uit te voeren, zijn er een aantal voorwaarden:

• Het verwerkingsregister: Dit register levert input voor je DPIA en helpt bij het bepalen van de scope. Een deel van de informatie die je nodig hebt voor een DPIA staan mogelijk al in het verwerkingsregister. Zorg dus dat deze up-to-date is. Lees ook onze eerdere blog ‘Het bijhouden van een verwerkingsregister, hoe doe je dat?’.
• Intern draagvlak: Het kan gebeuren dat een DPIA grote risico’s aan het licht brengt. Zonder draagvlak binnen de organisatie, kan het lastig zijn om maatregelen door te voeren. Betrek daarom verschillende rollen en afdelingen bij de uitvoering van de DPIA, zodat er voldoende steun is voor eventueel te nemen maatregelen.
• Prioriteren: Wanneer je nog niet bent begonnen met het structureel uitvoeren van DPIA’s binnen de organisatie kun je niet alle DPIA’s in één keer uitvoeren voor alle processen binnen de gemeente waar persoonsgegevens worden verwerkt, zelfs niet met voldoende draagvlak. Begin daarom met de meest urgente DPIA’s. Het verwerkingsregister kan helpen om te bepalen welke systemen de hoogste prioriteit hebben vanwege hun gevoeligheid (risico) en belang (impact op de betrokkenen = burgers/medewerkers).
• Scope: Bepaal van tevoren duidelijk de scope van de DPIA’s die je gaat uitvoeren. Het is aan te raden om dit op procesniveau te doen, omdat processen vaak meerdere verwerkingen omvatten en zo een volledig beeld geven van de gegevensverwerking binnen de organisatie. He is ook mogelijk om de DPIA op systeem- of applicatieniveau uit te voeren. Vergeet in dat geval niet de verschillende processen te identificeren die gebruikmaken van de applicatie.
• Input van de werkvloer: Een DPIA is pas echt van toegevoegde waarde als je voldoende input krijgt van de mensen van de werkvloer. Betrek daarom medewerkers, zij weten vaak het beste welke risico’s er zijn, waardoor je maatregelen goed kunt laten aansluiten op de dagelijkse praktijk. Dit zijn niet alleen de afdelingsmedewerkers, maar ook I-adviseurs en ICT-medewerkers die kennis hebben van het gehele proces of de applicatie.

Lees ook onze eerdere blog ‘Hoe voer je een DPIA uit’ waarin je leest wanneer je een DPIA uitvoert en welke stappen daarbij worden doorlopen.

Een continu proces

Een DPIA uitvoeren is geen eenmalige activiteit, maar een continu proces. Je moet altijd blijven monitoren of de gegevensverwerking verandert. Bijvoorbeeld bij het gebruik van nieuwe technologieën, procesaanpassingen, of wanneer persoonsgegevens voor een ander doel worden gebruikt. In deze situaties verandert je gegevensverwerking namelijk en kan soms een update van de DPIA nodig zijn. Vanwege deze veranderingen is het aan te raden om periodiek een DPIA bij te werken. Om dit te borgen binnen de organisatie, is het zinvol om de DPIA-update controle mee te nemen binnen het wijzigingsproces. Doe je dit niet, dan kan dit ertoe leiden dat nieuwe risico’s over het hoofd worden gezien. Toch merk ik in de praktijk dat weinig gemeenten DPIA’s structureel uitvoeren. Waarom?

Tien valkuilen bij het uitvoeren van een DPIA

Het (structureel) uitvoeren van DPIA’s kan een uitdagend proces zijn binnen gemeenten. Hieronder vind je enkele veelvoorkomende valkuilen die ik bij gemeenten tegenkom binnen dit proces:

1. Het belang onderschatten: Veel organisaties onderschatten het belang van een DPIA, waardoor ze niet grondig te werk gaan. Dit kan zorgen voor onvoldoende bescherming van persoonsgegevens en inzicht in de risico’s die worden gelopen.
2. Gebrek aan eigenaarschap: Eigenaarschap is cruciaal. Wijs een duidelijke proceseigenaar aan die verantwoordelijk is voor de DPIA. Deze persoon moet verantwoordelijkheid nemen en bevoegdheden hebben om beslissingen te nemen. Zonder een duidelijke verantwoordelijke kan de DPIA makkelijk over het hoofd worden gezien of maar half worden uitgevoerd. Het is niet de bedoeling om de Privacy Officer ‘eigenaar’ te maken van alle DPIA’s. Een Privacy Officer ondersteunt de eigenaar bij het uitvoeren van de DPIA.
3. Geen borging in (werk)processen: Een DPIA wordt vaak als een extra taak gezien in plaats van een standaard stap binnen een proces. Dit zorgt ervoor dat ze vaak worden vergeten of als lastig worden ervaren. Neem de uitvoering of check van de DPIA daarom op in de processen die deze triggeren. Denk hierbij aan wijzigingsprocedures, inkoopprocedures (bij de aanschaf van nieuwe applicaties/systemen), of bij het aangaan van samenwerkingsverbanden waarbij de werkprocessen over verschillende verantwoordelijken worden verdeeld.
4. Gebrek aan tijd en middelen: Het goed uitvoeren van een DPIA kan tijd en geld kosten. Veel gemeenten hebben niet genoeg mensen of middelen om DPIA’s goed uit te voeren. Dit leidt vaak tot gehaaste uitgevoerde DPIA’s of het helemaal niet uitvoeren van DPIA’s.
5. Onvoldoende kennis en vaardigheden: Het goed uitvoeren van een DPIA vraagt om specifieke kennis van de AVG en het proces/systeem. Vaak wordt een DPIA gezien als een vinkje dat moet worden gezet, waardoor het echte doel (inzicht krijgen in de risico’s en daar iets mee doen) vaak niet wordt gehaald. Sommige gemeenten huren externen in om het document op te stellen, maar vergeten daarna de implementatie en de borging van de uitkomsten in de organisatie (iets wat IB&P in haar aanpak wel doet).
6. Te weinig betrokkenheid: Het is belangrijk dat de juiste stakeholders betrokken zijn, zoals de IT-afdeling en de Functionaris Gegevensbescherming (FG). Hun input en betrokkenheid is essentieel. Let op: betrek ook je verwerkers (derde partijen die persoonsgegevens verwerken namens de gemeente) voor een volledig beeld van de risico’s.
7. Gebruik van standaard templates: Standaard templates kunnen handig zijn, maar dekken niet alle unieke aspecten en risico’s van een specifieke situatie. Te veel vertrouwen op deze templates kan leiden tot een onvolledige DPIA.
8. Onvoldoende documentatie en transparantie: Als je bevindingen en beslissingen niet goed documenteert, kun je problemen krijgen bij audits en controles door toezichthoudende autoriteiten. Het is ook belangrijk om transparant ze zijn over de uitkomsten van de DPIA naar betrokkenen.
9. Privacy by Design en Default worden vergeten: Het niet meenemen van privacy vanaf het begin (Privacy by Design en Default) kan leiden tot privacyrisico’s later, wat weer kan leiden tot kostbare aanpassingen achteraf.
10. Geen follow-up acties: Een DPIA uitvoeren is zinloos als de gevonden risico’s niet worden aangepakt. Het niet opvolgen van acties kan leiden tot niet-naleving van de AVG en kan gevolgen hebben voor de betrokkenen. Lees ook onze eerdere blog ‘Een DPIA uitgevoerd en dan?’.

Door bovenstaande valkuilen te herkennen en aan te pakken, kun je de effectiviteit van je DPIA verbeteren en persoonsgegevens beter beschermen.

Meer informatie of hulp nodig?

Heb je na het lezen van de blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Wij, bij IB&P begrijpen de uitdagingen waarmee gemeenten en organisaties te maken hebben bij het uitvoeren van DPIA’s. Daarom bieden wij diverse oplossingen, zoals:

• Uitvoeren van individuele DPIA’s: Wij kunnen individuele DPIA’s uitvoeren voor specifieke processen/systemen binnen jouw organisatie samen met de betrokken medewerkers. Hierdoor ben je verzekerd van een grondige en professionele impactanalyse die voldoet aan alle AVG-eisen.
• Tweedaagse cursus: Voor diepgaandere training bieden wij een tweedaagse cursus. Tijdens deze cursus begeleiden wij medewerkers en stakeholders door het hele DPIA-proces en bespreken we templates en procedures. Dit stelt jouw organisatie in staat om zelfstandig en effectief DPIA’s uit te voeren.
• Workshops: In onze eendaagse workshops begeleiden wij medewerkers die een specifieke DPIA moeten uitvoeren door het hele DPIA-proces. Hierdoor leert je team zelfstandig een DPIA uit te voeren en vergroot het de kennis binnen je organisatie.

Meer weten? Neem direct contact met ons om te zien wat IB&P voor jou kan betekenen.