Een DPIA: alleen een verplichting of ook waardevol?
Privacy in een digitale tijdperk
Privacy is een grondrecht. En een voorwaarde om vrij te zijn in wie je bent en wat je doet. Zelf regie en zeggenschap kunnen houden over je eigen gegevens.
We leven in een digitaal tijdperk, waarbij de meeste mensen apps en social media gebruiken. Vaak moet je hier je persoonsgegevens achterlaten, zodat organisaties dankzij deze verzamelde informatie hun producten en diensten beter af kunnen stemmen op je wensen. Maar je weet niet altijd waar organisaties jouw gegevens opslaan en wie er toegang tot heeft.
De Europese privacywet: de algemene verordening gegevensbescherming (AVG) sluit aan op het digitale tijdperk waarin we leven. Deze wet geeft je als persoon versterking en uitbreiding van je privacy rechten, maar geeft organisaties ook meer verantwoordelijkheden om zorgvuldig met persoonsgegevens om te gaan.
Privacy risico’s in kaart brengen met een DPIA
Onder de AVG kunnen organisaties verplicht zijn een Data Protecion Impact Assessment (DPIA) uit te voeren. Een DPIA is een instrument om vooraf de privacy risico’s van een gegevensbewerking in kaart te brengen. Dit geeft je inzicht in welke risico’s de verwerking kan opleveren voor de betrokkenen en in welke maatregelen je als verantwoordelijke moet nemen om deze risico’s te beperken en/of te beheersen.
Bij de beoordeling van de risico’s wordt gekeken naar:
- de aard van de voorgenomen verwerking;
- de omvang, context en doelen van de verwerking;
- de bronnen van de risico’s.
Is jouw organisatie verplicht om een DPIA uit te voeren?
Wil je starten met een nieuwe verwerking van persoonsgegevens dan moet je eerst bepalen of je verplicht bent om een DPIA uit te voeren voordat je met de verwerking mag starten.
Een DPIA is alleen verplicht als je dataverwerking waarschijnlijk een hoog privacy risico oplevert, zoals bijvoorbeeld wanneer jouw organisatie camerabeelden verwerkt. Je organisatie is echter zelf verantwoordelijk voor het inschatten van de hoogte van de privacy risico’s. Dit zorgt in de praktijk nog wel eens voor verwarring.
De Autoriteit Persoonsgegevens heeft een lijst van verwerkingen opgesteld waarvoor het uitvoeren van een DPIA altijd verplicht is vóór je met verwerken begint.
Ook kun je op de site van de Autoriteit van Persoonsgegevens aan de hand van een schema checken of je verplicht bent om een DPIA uit te voeren.
Het houdt niet op met alleen een DPIA
Het eindresultaat, de verslaglegging, is echter zelden tot nooit het eindpunt. Uit elke DPIA volgen namelijk risico’s en bij risico’s horen maatregelen die deze risico’s terugbrengen tot een acceptabel niveau, men noemt dit het nemen van mitigerende maatregelen. Een mitigerende maatregel is dus een maatregel die het risico weer verlaagt. Een risico inschatting is echter erg lastig te maken. Op basis van gevoel kan je er wel komen, maar alleen op gevoel maak je niet een goede DPIA. Het is daarom slim de risico’s te beschrijven en toe te lichten op basis van “kans” en “impact”.
Als je een schaal van 3 gebruikt (laag, midden en hoog) gebruikt werkt dat als volgt:
- Wat is de kans dat het risico zoals beschreven ook daadwerkelijk plaatsvindt, is dat risico hoog, of eerder midden, of misschien wel laag.
- Wat is de impact voor de betrokkenen als het risico daadwerkelijk plaatsvindt. Is die impact hoog, of eerder midden, of misschien wel laag.
Gebruik bij de risicobepaling vervolgens de formule: risico = kans x impact. Oftewel als zowel de kans als de impact hoog is, is als vanzelfsprekend het risico ook hoog. Laag x laag blijft als vanzelfsprekend ook een laag risico en bij een mix, is het veelal toch weer een inschatting of het risico midden is, of toch hoog.
Het uitvoeren van een DPIA is echter geen eenmalige administratieve actie. Je moet immers de mitigerende maatregelen ook borgen in de organisatie en daarnaast dient een DPIA herhaalt te worden na 3 jaar of wanneer het risico voor de betrokkenen wijzigt, bijvoorbeeld door een wijziging in het proces of het verwerkingssysteem.
Een DPIA zorgt voor waardevolle inzichten
Veel organisaties voeren een privacy risico analyse alleen uit omdat deze verplicht is. Een DPIA kan je organisatie echter ook veel waardevolle inzichten geven, omdat:
- je het proces inzichtelijk in kaart gebracht hebt;
- je de risico’s beter kent en dus ook de kans dat er iets mis gaat makkelijker kleiner kunt maken;
- als je toch bezig bent met de inventarisatie van de privacy risico’s en het proces goed onder de loep neemt, je ook meteen met een andere bril dan de privacy bril naar je processen en rollen kunt kijken. Hoe “lean” is jouw risicovolle verwerking eigenlijk?
Kortom, een DPIA is een mooi hulpmiddel om de processen en systemen nog slimmer en meer privacy proof te maken.
Je kennis op het gebied van een DPIA vergroten?
Incompanybrain organiseert samen met AVK Training & Coaching een training Data Protection Impact Assessment (zowel incompany als open inschrijving). In deze training leer je wat er allemaal komt kijken bij een DPIA en hoe je een DPIA team opzet. Je leert hoe je een systematische beschrijving van je gegevensverwerking maakt, hoe je de privacy risico’s beoordeelt en welke maatregelen jouw organisatie moet nemen om deze risico’s aan te pakken.