Home / Nieuws & Blogs / DPIA’s (laten) uitvoeren; hoe doe je dat nou?

DPIA’s (laten) uitvoeren; hoe doe je dat nou?

| 1 november 2019

Het uitvoeren van een Data protection Impact Assessment (DPIA en in het Nederlands: gegevensbeschermingseffectbeoordeling) is vaak een van de hete hangijzers binnen een organisatie. Onder andere het beleggen van de verantwoordelijkheid tot het uitvoeren van DPIA’s kan al voor discussies zorgen. Niemand lijkt een DPIA echt uit te willen voeren omdat het (commerciële) plannen kan vertragen en dus blijft het vaak liggen. Toch is het uitvoeren van DPIA’s wettelijk verplicht. Hoe pak je de implementatie van deze verplichting succesvol aan?

Modelkeuze

Met een DPIA worden vooraf de privacyrisico’s van een gegevensverwerking in kaart gebracht. Om deze risico’s in kaart te brengen en af te wegen, zijn er verschillende DPIA-modellen in omloop. Je kunt zelf kiezen voor een bepaald model dat je wilt gaan (laten) gebruiken, zolang deze maar aan de basisvereisten voldoet uit artikel 35 van de AVG. Voor het kiezen of samenstellen van een model kun je rekening kunt houden met de volgende factoren:

  • In welke landen is mijn organisatie actief?
  • Hoe risicovol zijn de verwerkingen die binnen mijn organisatie worden verricht?
  • Wie gaan DPIA’s uitvoeren binnen mijn organisatie, en hoe is hun kennisniveau op het gebied van privacy?

Afhankelijk van het land waarin je actief bent, wil je wellicht een model kiezen of je keuze voor een specifiek model baseren op de richtsnoeren van de betreffende nationale toezichthouder. Laat je bijvoorbeeld inspireren of gebruik modellen zoals verstrekt door de Franse CNIL of de Engelse ICO.

Daarnaast kunnen de gegevensverwerkingen binnen een organisatie zeer divers zijn. Om die reden wil je wellicht wel opteren voor twee modellen: één model voor de ‘zware’ risicovolle verwerkingen (zoals het migreren van het gehele CRM-systeem naar de cloud) en één light model voor minder risicovolle zaken, maar waar je toch een DPIA op uit wil voeren (zoals voor het gebruik van nieuwe profilering cookies op de website). Het verschil in beide modellen is dan gelegen in hoe diepgaand de informatie moet zijn die moet worden verzameld en de uitwerking daarvan.

Zorg er in ieder geval voor dat je het model in het algemeen zo simpel en eenvoudig mogelijk houdt en daarbij rekening houdt met de medewerkers die de DPIA’s zullen uitvoeren. Voor juristen kan ingewikkeld juridisch jargon aantrekkelijk zijn, maar dat geldt vaak niet voor andere medewerkers. De kans bestaat dat medewerkers in dat geval ontwijkend gedrag gaan vertonen, zich verzetten bij het neerleggen van de verantwoordelijkheid voor het uitvoeren van DPIA’s of dat er niet volledig ingevulde formulieren worden ingediend, omdat men niet (voldoende) begrijpt wat er ingevuld moest worden.

Beleid

Als het model er eenmaal ligt, is het van belang om beleid op te stellen. Het beleid ligt namelijk ten grondslag aan de uitvoering van de DPIA en de uiteindelijke implementatie van de resultaten ervan. Uitgewerkt beleid geeft bijvoorbeeld antwoord op de vraag wie binnen de organisatie de DPIA’s uit zal gaan voeren. Veelal zal dit niet de functionaris gegevensbescherming (FG) zelf zijn (mocht die er zijn) maar dient deze wel te adviseren over de noodzaak tot het uitvoeren van een DPIA en dient een mening te geven op de uitkomst ervan. In hoofdlijnen zijn de belangrijkste punten uit een DPIA-beleid:

  • Bij wie de verschillende afdelingen/medewerkers (geplande) risicovolle verwerkingen moeten melden;
  • Wanneer het uitvoeren van een DPIA verplicht is, en wie hierover (in twijfelgevallen) het besluit neemt (de FG);
  • Wie verantwoordelijk is voor het uitvoeren van een DPIA;
  • Welk DPIA-model moet worden gebruikt, en waar dit te vinden is;
  • Op welke wijze de DPIA aan de FG moet worden aangeboden voor advies (wanneer er een FG is);
  • Waar de DPIA intern moet worden opgeslagen en geregistreerd (denk hierbij ook aan opname van de verwerking in het verwerkingsregister);
  • Hoe wordt geborgd dat de DPIA periodiek wordt geüpdatet.

Awareness en training

Als laatste is het van belang om na de keuze voor een model en inrichting van het beleid aan de slag te gaan met de awareness van medewerkers. Alle medewerkers moeten namelijk weten dat er een DPIA verplichting bestaat, waardoor ze bepaalde geplande verwerkingen intern moeten melden. Daarnaast is het van belang dat medewerkers die DPIA’s gaan uitvoeren weten wat en hoe ze dit moeten doen. Deze informatie kan worden gegeven via een (online) training. In een dergelijke training is het van belang dat naar voren komt:

  • Wat het belang van en de gedachte achter een DPIA is;
  • Wat de basisregels uit de privacywetgeving zijn (denk aan mogelijke grondslagen, noodzakelijkheidscriteria, redeneringen achter bewaartermijnen, maar natuurlijk ook de regels waaruit de DPIA verplichting voortkomt);
  • Met welk model de DPIA moet worden uitgevoerd en hoe dit werkt;
  • Wat de interne procedure is zoals omschreven in het DPIA-beleid;
  • Welke informatie mensen dienen te verzamelen of acties die zij dienen te verrichten om:
    • te beoordelen of een DPIA verplicht is;
    • de DPIA uit te voeren en vervolgens aan de FG voor te leggen;
    • de DPIA intern op te slaan/te registeren (evt. ook in het verwerkingsregister);
    • de DPIA periodiek up-to-date te houden.

Zie ook onze factsheet over dit onderwerp. Al met al zijn er veel situaties waarbij er een DPIA verplicht is. Uiteraard kunnen wij u helpen met zowel de vraag of dit in uw situatie noodzakelijk is als met de uitvoering van de DPIA.