033 200 30 83
Door: Francis Joung en Sander van de Molen
In dit blog beschrijven we een aantal belangrijke elementen uit de theorie en het juridisch kader over DPIA’s. Ook geven we een aantal tips over hoe een DPIA in de praktijk uit te voeren. Daarvoor putten we uit het door ons geschreven Handboek DPIA’s [1] en uit de cursussen die we al enige tijd hierover geven. Verder lichten we toe waarom DPIA’s steeds belangrijker worden.
Theorie: Wat is een DPIA?
Een data protection impact assessment (DPIA) [2] is een instrument om privacyrisico’s van een gegevensverwerking in kaart te brengen, zodat een organisatie passende maatregelen kan nemen om de risico’s te verkleinen.
Waarom zijn DPIA’s belangrijk?
DPIA’s zijn belangrijk voor een organisatie:
- Om het benodigde inzicht in verwerkingen te Om de privacybelangen van betrokkenen [3] (b.v. haar klanten, cliënten, patiënten, burgers, leerlingen, medewerkers etc.) te kunnen beschermen, moet zij inzicht [4] hebben in de (privacy)risico’s van haar dataverwerkende processen.
- Om aan te kunnen tonen dat voor privacyrisico’s in processen passende beheersmaatregelen zijn genomen.
- Omdat deze op grond van de AVG verplicht zijn bij processen met hoge privacyrisico’s voor betrokkenen.
Wie is verantwoordelijk voor de uitvoering?
Een veel voorkomende misvatting is dat de FG verantwoordelijk is voor het uitvoeren van een DPIA. Dat is niet het geval. Het uitvoeren van een DPIA is de verantwoordelijkheid van de verwerkingsverantwoordelijke (artikel 35, lid 2 AVG). De DPIA kan door iemand anders worden uitgevoerd, maar de verwerkingsverantwoordelijke blijft daarvoor eindverantwoordelijk.
Op welk tijdstip moeten ze worden uitgevoerd?
Art. 35 lid 1 AVG is duidelijk: ‘vóór de verwerking’[5]. Dit is ook in lijn met de door de AVG voorgeschreven aanpak van Privacy by Design en Privacy by Default [6]. Het idee van toch maar alvast starten met een verwerking en daarna een DPIA uitvoeren gaat in tegen de AVG en maakt een organisatie kwetsbaar voor acties vanuit de Autoriteit Persoonsgegevens (AP) en claims van betrokkenen. Een organisatie is namelijk verplicht bij hoog risico privacy verwerkingen voor de start van de verwerking de risico’s voor betrokkenen voldoende te mitigeren met beheersmaatregelen.
Een andere breed levende misvatting is dat bij pilots en bij experimenten waarbij wel persoonsgegevens worden verwerkt geen DPIA’s nodig zijn, omdat je dan nog niet in productie bent. Dat is onjuist, want zodra er sprake is van verwerking van (echte) persoonsgegevens met een hoog risico is een DPIA verplicht.
Wanneer is een DPIA verplicht?
Een DPIA is verplicht bij nieuwe of te wijzigen verwerkingen die een hoog risico inhouden voor de betrokkenen. Dit bepaal je door een verwerking achtereenvolgens te toetsen aan:
- De tekst van artikel 35 lid 3 AVG [7].
- De lijst van de AP van soorten verwerkingen waarvoor een DPIA verplicht is [8].
- De negen criteria van de WP29 [9] in de WP 29 Richtlijnen voor DPIA’s [10].
- Indien slechts één van de criteria uit stap 3 aan de orde is moet je zelfstandig beoordelen of er toch dusdanige risico’s zijn dat een DPIA nodig is [11].
Wanneer een verwerking voldoet aan een van deze vier punten is een DPIA verplicht.
Alleen een échte DPIA telt!
Let overigens goed op. Alleen een goed en compleet uitgevoerde DPIA is een échte DPIA. Indien een organisatie geen DPIA uitvoert of deze niet compleet en juist is uitgevoerd, dan loopt de organisatie een risico op een (standaard) boete van € 310.000 [12]. Nog belangrijker dan het risico van de boete is natuurlijk dat een organisatie zonder deugdelijk uitgevoerde DPIA geen zicht heeft op de privacyrisico’s en benodigde beheersmaatregelen voor die verwerking, hetgeen tot grote privacyrisico’s voor betrokkenen kan leiden.
Praktijk: Stappen om rekening mee te houden bij het uitvoeren van een DPIA
Op basis van onze ervaring met DPIA’s zijn wij van mening dat de volgende stappen nodig zijn voor een succesvolle uitvoering van een DPIA.
Stap 1: Opdracht van de directie/management
Het verkrijgen van draagvlak bij de directie/het management is een belangrijke randvoorwaarde. Zij stellen de benodigde middelen (budget en mankracht) ter beschikking. Ook zullen zij aan de organisatie duidelijk moeten maken dat meewerken aan de DPIA belangrijk is en prioriteit heeft. Zonder deze opdracht is het praktisch zeer lastig een DPIA uit te voeren, omdat medewerkers de noodzaak er niet van inzien en daardoor zelfs mogelijk niet willen meewerken.
Stap 2: Maak een plan van aanpak
Na het verkrijgen van de opdracht werk je in een plan van aanpak de volgende elementen verder uit:
- Een beschrijving van de (nieuwe of te wijzigen) verwerking
- De te doorlopen stappen bij de uitvoering
- De benodigde disciplines/soorten medewerkers
- De activiteiten die zij gaan uitvoeren
- Een inschatting van de te reserveren tijd voor die medewerkers
- Een tijdplanning
- Het benodigde budget
Stap 3: De scope van de DPIA
Maak concreet welk deel van het verwerkingsproces onder de loep wordt genomen. Bijvoorbeeld: Vanaf welke bronsystemen zijn welke databases, hardware en servers in scope, tot en met welke output naar welke processen, systemen, zowel intern of extern.
Een duidelijke scope is essentieel om een DPIA effectief te kunnen uitvoeren. Een onduidelijke scope kan leiden tot veel misverstanden en extra werk.
Stap 4: De stappen bij de uitvoering van de DPIA
Het is belangrijk om een DPIA volgens een vaste structuur uit te voeren en daarbij alle benodigde stappen te doorlopen. Een goed DPIA-model [13] mét toelichting helpt daarbij. Alleen zo voer je een juiste en volledige DPIA uit.
Bij de uitvoering maak je de volgende stappen:
- Een analyse van het juridisch kader, inclusief sectorspecifieke regels
- Het zo nodig op basis van eisen uit het juridisch kader aanvullen van de vragenlijst van het DPIA-model
- Het zoveel mogelijk vooraf invullen van de vragen van het DPIA-model
- Het houden van een workshop met stakeholders/kenners proces
- De analyse van antwoorden en documentatie
- Het verder invullen van het DPIA-model en het opstellen van een concept DPIA-rapport
- De review van het concept rapport
- Vragen van advies van de FG
- Maken van het definitieve DPIA-rapport
Stap 5: De benodigde disciplines
Breng in beeld welke disciplines en medewerkers daadwerkelijk de benodigde inhoudelijke (detail) kennis van het te onderzoeken proces hebben. Bij een nieuw op te zetten proces betreft dit medewerkers en managers die duidelijk voor ogen hebben hoe dat nieuwe proces eruit zou moeten gaan zien (doel, benodigde persoonsgegevens, applicaties, afdelingen etc.).
Bij een bestaand proces gaat het om medewerkers die exact weten welke soorten data en persoonsgegevens, op welke wijze, met welke programmatuur/software, draaiend op welke hardware, waar, voor welk doel, door welke afdelingen worden verwerkt. Denk hierbij ook aan procesarchitecten, business consultants, security specialisten, ICT’ers, (product)juristen en compliance officers.
Stap 6: Betrekken en inzetten medewerkers bij de uitvoering
Het is belangrijk om medewerkers vooraf goed te informeren over hun rol in de DPIA en wat er van hen gevraagd wordt. Betrek medewerkers bijvoorbeeld bij de DPIA door een workshop te organiseren. Denk eraan om voorafgaand aan een DPIA workshop de deelnemers goed te informeren over bijvoorbeeld de informatiebeveiliging of om ze alvast samen met een inhoudsdeskundige al zoveel mogelijk te laten invullen van een deel van het DPIA- model, zoals bijvoorbeeld het eerste onderdeel van een DPIA, de beschrijving van de gegevensverwerking [14].
Stap 7: Tijdplanning
Werk uit wie, wanneer, welke acties gaat uitvoeren en wie, wanneer, welk product oplevert, bijvoorbeeld welke vragen de DPIA uitwerkt. Deze planning dient uiteraard tijdig met alle betrokkenen te worden gedeeld, zodat zij weten wat er wanneer van hen wordt verwacht.
Stap 8: Benodigd budget
Maak een concrete begroting, zodat helder is voor het management welke kosten voor de DPIA moeten worden gemaakt (specificeer zowel de interne als externe kosten).
Stap 9: Wie voert het uit?
Om te voorkomen dat belangrijke privacyrisico’s worden gemist dienen DPIA’s in onze visie, zeker bij complexere processen met mogelijk hogere risico’s, te worden begeleid door een privacy specialist of een team met voldoende specialistische (DPIA) kennis en ervaring. Deze specialist(en) moet(en) beschikken over:
- diepgaande kennis van de AVG en de overige op het te onderzoeken proces toepasselijke privacyregels;
- diepgaande kennis van organisatie en processen (waarom zo ingericht/doen we dingen zo);
- ervaring met privacymanagement-inrichtingseisen;
- communicatief sterk zowel naar business/medewerkers als naar management;
- ervaring in multidisciplinair werken;
- ervaring met het uitvoeren van DPIA’s.
Denkbaar is bijvoorbeeld dat een privacy coördinator van een klein ziekenhuis die voor de eerste keer een DPIA moet uitvoeren steun zoekt bij ervaren collega’s van een groter ziekenhuis in de regio. In bepaalde sectoren steunen netwerken van privacy specialisten/FG’s elkaar met kennis en voorbeelden. Het is aan te bevelen dat de meer met DPIA’s ervaren privacy- specialisten hun minder ervaren collega’s ondersteunen door hen tips te geven over hoe deze goed uit te voeren en geanonimiseerde voorbeelden te delen van goed uitgevoerde DPIA’s.
Een andere optie is om hiervoor een externe DPIA-specialist in te schakelen die twee of drie DPIA’s uitvoert in nauwe samenwerking met de interne medewerkers (bijvoorbeeld privacy coördinatoren) die beoogd zijn om zich als DPIA-specialist van de organisatie te gaan ontwikkelen, zodat zij hierna zelfstandig DPIA’s kunnen gaan uitvoeren.
Bij complexe DPIA’s is het aan te bevelen om een projectleider aan te stellen.
Belang: Waarom worden DPIA’s steeds belangrijker?
Er is sinds de invoering van de AVG, alweer vier jaar geleden, onder het grote publiek een groeiende belangstelling voor en bewustzijn over privacy en de risico’s en rechten die daaruit voortvloeien. Mensen moeten erop kunnen vertrouwen dat hun persoonsgegevens met respect worden behandeld. Als organisaties dit niet (aantoonbaar) doen, dan verliezen ze het vertrouwen van het publiek.
We maken mee dat betrokkenen zelf om DPIA’s over bepaalde verwerkingen vragen aan organisaties, denk van een burger aan een gemeente. De Autoriteit Persoonsgegevens is sinds een jaar ook veel actiever gaan handhaven en vraagt bij onderzoeken die zij uitvoert (denk aan het onderzoek over Smartcities [15]) ook steeds vaker DPIA’s op bij organisaties om hun compliance te kunnen beoordelen. Kortom, het is belangrijk om als organisaties ook je DPIA’s op orde te hebben. We hopen je met ons artikel een aantal handvatten te geven.
Francis Joung en Sander van de Molen Handboek DPIA’s
ISBN 9789492952424
1. Francis Joung en Sander van de Molen, Handboek DPIA’s, Berghauser Pont, Zie: www.privacyteam.nl/dpia/bestellen/handboek-dpia-s.
2. Zie ook de richtsnoeren van de WP29 WP 248 van 4 april 2017 (en laatstelijk gewijzigd en vastgesteld op 4 oktober 2017), pagina 4: ‘Een gegevensbeschermings- effectbeoordeling is een proces dat is bedoeld om de verwerking van persoons- gegevens te beschrijven, de noodzaak en evenredigheid ervan te beoordelen en de daaraan verbonden risico’s voor de rechten en vrijheden van natuurlijke personen te helpen beheren door deze risico’s in te schatten en maatregelen te bepalen om ze aan te pakken’.
3. Maar ook om haar eigen organisatiebelangen te waarborgen (denk aan reputatie- schade, aantasting van haar relaties met partners door privacy-inbreuken).
4. Dit inzicht krijg je alleen door een inventarisatie en risicoanalyse van die processen.
5. Zie ook de overwegingen 90 en 93 van de AVG.
6. De beginselen van gegevensbescherming van privacy door ontwerp en door standaardinstellingen (zie artikel 25 en overweging 78 van de AVG).
7. Dat geeft aan dat een DPIA verplicht is bij:
-
een systematische en uitgebreide beoordeling van persoonlijke aspecten gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
-
een grootschalige verwerking van bijzondere of strafrechtelijke gegevens;
-
stelselmatige en grootschalige monitoring van een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
8. Op grond van artikel 35 lid 4 AVG heeft de AP een lijst opgesteld van soorten verwerkingen waarvoor een DPIA verplicht Zie: www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-64418.pdf. Het gaat hier meestal om grootschalige en/of stelselmatige verwerkingen.
9. Artikel 29 Deze werkgroep bestaat uit de privacy toezichthouders van de EU-landen (waaronder de AP). Zij hebben een groot aantal richtlijnen en aanbevelingen gepubliceerd om een uniforme interpretatie en toepassing van de privacywetgeving (Richtlijn 95/46/EG, de voorganger van de AVG) te bevorderen. Zij is met de komst van de EDPB opgeheven.
10. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, die zijn vastgesteld door WP29 en geaccordeerd door EDPB. Bij twee hits op deze criteria is een DPIA verplicht.
11. Dit is aangegeven in WP 29 Richtlijnen voor DPIA’s 13.
12. Zie hiervoor de boetebeleidsregels van de Autoriteit Persoonsgegevens: autoriteitpersoonsgegevens.nl/nl/publicaties/boetes-en-sancties.
13. Het Handboek DPIA’s bevat een aantal praktische modellen met een uitgebreide toelichting, zodat je niets mist.
14. Dan kan daarop worden voortgeborduurd in de workshop en kun je met de deelnemers in de workshop werkafspraken maken over wie welk deel van de DPIA verder gaat uitwerken
15. autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/onderzoeksrapport_smart_cities_def.pdf
