“Iedereen doet het, dus we hoeven geen DPIA te doen” is een antwoord dat we vaak horen wanneer wij vragen of er binnen een nieuwe persoonsgegevensverwerking een Data Protection Impact Assessment (DPIA in het kort) is uitgevoerd. Jammer genoeg is ‘iedereen doet het’ geen goede afweging voor de waarborging van privacy. In veel gevallen is het tóch nodig om voor jouw cameratoezicht, het nieuwe veel gebruikte HR-systeem óf populaire applicatie voor gegevensverwerking zelf een DPIA uit te voeren.
Of dit betekent dat je de verwerking niet mag uitvoeren ook al doet iedereen het? Nee, gelukkig niet! De DPIA geeft namelijk vooral inzicht in de risico’s van de verwerking, waardoor je (vaak) op basis hiervan de juiste maatregelen instelt om de privacy juist te vergroten en te garanderen. Hierdoor weet je zeker dat het cameratoezicht AVG-proof is en jouw salarisverwerking via die nieuwe software perfect ingericht wordt.
Allereerst, wat is een DPIA eigenlijk?
Artikel 35 van de AVG schrijft voor dat er een effectbeoordeling van de bescherming van de privacy moet worden uitgevoerd, wanneer er bij een gegevensverwerking waarschijnlijk een hoog risico voor de privacy van betrokkenen is. Deze zogeheten ‘DPIA’ start met een systematische beschrijving van de beoogde verwerking en doeleinden. Daarna volgt de beoordeling van de noodzaak en evenredigheid van de verwerking en een beoordeling van de mogelijke risico’s voor de privacy van de betrokkenen. Tot slot wordt gekeken of er nog maatregelen getroffen kunnen worden om die privacy nog beter te beschermen.
Elke organisatie is anders, waardoor het inzetten van een algemene verwerking andere risico’s met zich mee kan brengen voor een specifieke organisatie. Middels de DPIA krijgt de organisatie een goed beeld van hoe de verwerking bij de eígen organisatie gaat zijn en waar bij de implementatie nog gespecificeerde beheersmaatregelen moeten worden ingezet. Je wilt namelijk niet de volgende gemeente Enschede worden, omdat je een verkeerde inschatting hebt gemaakt.
Wanneer moet een DPIA uitgevoerd worden?
Zoals genoemd voer je een DPIA uit wanneer er waarschijnlijk een hoog privacy risico binnen de verwerking aanwezig is. Om de belangrijkste DPIA’s niet te vergeten, heeft de Autoriteit Persoonsgegevens een lijst van 17 voorbeelden van verwerkingen waarbij het verplicht is om een DPIA uit te voeren opgesteld. Hierop staan onder meer “grootschalig en/of stelselmatig cameratoezicht” en “samenwerkingsverbanden” benoemd. Het maakt dus geen verschil of alle andere organisaties ook in hun openbare ruimtes dezelfde camera’s hebben hangen, of dat alle woningcorporaties met zorgpartners gevoelige informatie delen op grond van een convenant; bij deze verwerkingen zal altijd een beoordeling moeten plaatsvinden van de risico’s die voor deze specifieke verwerking aanwezig zijn.
Om voor de andere verwerkingen ook het potentiële privacy risico op waarde te schatten, heeft de Autoriteit Persoonsgegevens een checklist met 9 criteria die een (hoog) privacy risico met zich meebrengen gepubliceerd. De vuistregel hierbij is dat zodra er aan ten minste 2 criteria voldaan is, er een DPIA uitgevoerd moet worden. Wanneer een organisatie bijvoorbeeld nieuwe HR-software implementeert waarin de volledige personeelsdossiers gekoppeld worden aan allerlei databronnen, dan ligt het voor de hand dat je minimaal 2 of 3 criteria aantikt. Hoeveel andere bedrijven hetzelfde pakket implementeren maakt niet uit; de uit te voeren DPIA zal voor de specifieke organisatie uitgevoerd moeten worden.
Aan de hand van een toetsing van de verwerking op basis van de criteria (ook wel “Pre-DPIA” genoemd) kan gekeken worden in hoeverre een DPIA uitgevoerd moet worden. Tijdens een Pre-DPIA beschrijf je alvast alle processen en persoonsgegevens van de nieuwe verwerking, waarna gekeken wordt of deze verwerking één of meerdere van de criteria voor een Hoog Risico aantikt. Ook als uiteindelijk blijkt dat er géén verplichte DPIA uitgevoerd hoeft te worden, heeft de organisatie een document waarbij de privacygevoelige zaken van de nieuwe verwerking al eens globaal beoordeeld. Dit is altijd mooi meegenomen!
De struikelblokken bij een DPIA
Tijdsgebrek is vaak het eerste excuus om de DPIA van dit ‘overal toegepaste project’ maar eens over te slaan. Helaas is dit geen argument voor de Autoriteit Persoonsgegevens wanneer achteraf blijkt dat er ernstige risico’s voor de persoonsgegevensbescherming zijn. Ook kost het vaak alleen maar méér tijd, wanneer achteraf blijkt dat er nog allerlei haken en ogen zitten aan de verwerking. Het is dan altijd beter om de privacy risico’s bij de procesontwikkeling in kaart te hebben, zodat deze direct aangepast kan worden voordat het live staat. Voorkomen is beter dan genezen!
Soms is ook het gebrek aan kennis een struikelblok voor een DPIA. Niet alle managers weten Privacyrisico’s goed te identificeren, en de (externe) Privacy Officer heeft vaak niet de kennis van de praktische toepassing om zelfstandig een DPIA uit te voeren. Hierom is het goed als de Privacy verantwoordelijke binnen de organisaties interviews met verschillende stakeholders en gebruikers inplant. Zo kunnen er gesprekken gevoerd worden met de afdelingsmanager over de achterliggende doelen, enkele medewerkers over de praktische uitvoering, de leverancier over de (on)mogelijkheden en de ICT-afdeling om de Informatiebeveiliging en koppelingen te toetsen. Hoe meer inzichten er verkregen worden over de verwerking, hoe completer de DPIA!
Tot slot wordt een DPIA ook vaak over het hoofd gezien, omdat het niet is ingeregeld binnen het projectplan en/of inkoopproces. Om er altijd voor te zorgen dat voldoende tijd wordt ingericht en ook de juiste mensen op de hoogte zijn, is het handig om het (Pre-)DPIA-traject bij alle projectplannen en proceswijzigingen mee te nemen. Zo stelt de organisatie zich bij elk nieuw project al direct de vragen “gaan we hierbij persoonsgegevens verwerken?” en “welke mogelijke privacy risico’s zijn er?”, zodat dit altijd wordt meegenomen bij nieuwe verwerkingen. Op deze manier weet je zeker dat de persoonsgegevensverwerkingen binnen jouw organisatie voldoen aan de richtlijnen van de AVG.
Voordoen, samendoen, zelf doen!
Kom je er niet zelf uit? Dan kan Audittrail helpen met het gehele DPIA-traject. Het adagium van Audittrail is “Voordoen, samendoen, zelf doen!”. Wij hebben als doel om opdrachtgevers te begeleiden naar het zelfstandig uitvoeren van DPIA's. Aan de hand van een handig template voert de consultant samen met de klant een eerste DPIA uit. Bij volgende DPIA’s zal de consultant steeds meer de Privacy Officer van de organisatie het stokje laten overnemen. Wanneer de Privacy Officer het template en het doorvragen op onderliggende risico’s onder de knie heeft, is het uitvoeren van de DPIA een eitje!