Als je je met privacy bezighoudt, heb je er waarschijnlijk al over gehoord: de data protection impact assessment (DPIA). Een DPIA is een onderzoek dat duidelijk maakt of en waar privacyrisico’s ontstaan bij het gebruik van persoonsgegevens. Het onderzoek geeft aan welke risico’s zich mogelijk voor kunnen doen, en helpt vast te stellen welke maatregelen getroffen moeten worden om negatieve gevolgen voor betrokkenen te verkleinen of te voorkomen.
De DPIA is hét instrument om privacyrisico’s in kaart te brengen. Heb je al eens meegewerkt aan een DPIA, of misschien zelfs al eentje uitgevoerd? In deze blog geven wij je een aantal tips en tricks voor een betere DPIA, zowel voor het proces als voor het resultaat.
Tip 1: Gebruik een goed DPIA-format
Allereerst is het van belang om de DPIA-methodiek te bepalen. Het internet staat vol met hulpmiddelen, van de DPIA-tool van de IBD of templates van toezichthouders als de ICO en de CNIL[1]. Maar let goed op, de verschillen tussen de DPIA-formats kunnen erg groot zijn. En het format is erg bepalend voor het eindresultaat.
Onze ervaring leert dat uitgebreidere formats, zoals die van het Rijksmodel of de ICO (mits goed ingevuld natuurlijk) beter zicht geven op de gehele datacyclus – van verzameling tot verwijdering. Hierdoor wordt het makkelijker om het volledige proces in kaart te brengen. En zonder een gedetailleerde beschrijving van het proces wordt het erg moeilijk om de andere (verplichte) onderdelen van een DPIA goed uit te voeren. Als we de onderdelen heel platslaan, krijg je het volgende plaatje:
Houd er overigens rekening mee dat een DPIA nooit ‘af’ is; processen veranderen continu en een DPIA verandert daardoor ook mee.
Tip 2: Betrek de juiste mensen
Wij zien in de praktijk dat vaak maar een beperkt aantal personen wordt aangehaakt bij een DPIA. Denk dan meestal aan een (privacy)jurist, de informatiebeveiliger, de FG en de proceseigenaar. Maar om een goede DPIA uit te voeren is het belangrijk om te kijken naar de context: welke disciplines en invalshoeken zijn relevant voor mijn onderzoek?
Zo kan het logisch zijn om een socioloog te betrekken bij een gevoelig maatschappelijk onderwerp, zoals schuldhulpverlening. Hiermee kun je vanuit de sociale wetenschap onderbouwen waarom het erg belangrijk is om schulden vroegtijdig te signaleren, en het delen van gegevens tussen verschillende partijen bijdraagt aan het terugdringen van het maatschappelijk probleem. Maar als het gaat om de ontwikkeling van een gezondheidsapp, dan is het belangrijk om medische deskundigheid erbij te betrekken. En naast het betrekken van verschillende disciplines en experts, kan het ook erg nuttig zijn om betrokkenen (gebruikers, burgers, klanten) of andere stakeholders bij het DPIA-proces te betrekken. Zij kunnen je hele waardevolle informatie geven, bijvoorbeeld over potentiële risico’s of maatregelen die je kan treffen.
Door gebruik te maken van verschillende experts, disciplines en betrokkenen creëer je draagvlak. Het laat zien dat je moeite doet om verschillende belangen met elkaar af te wegen, waarbij je bijna een wetenschappelijke benadering hanteert om tot een verantwoord datagebruik te komen.
Tip 3: Denk in scenario’s en maak risico’s concreet
De AVG vraagt ons om een ‘objectieve’ beoordeling te doen van de (privacy)risico’s. Maar als je enig verstand hebt van risicomanagement, begrijp je ook dat het inschatten van risico’s vrijwel nooit geheel objectief is.
Het doel is echter om dit zo objectief én zo concreet mogelijk te maken. Onze ervaring leert dat het helpt om te denken in scenario’s. Welke situaties kunnen zich voordoen ten gevolge van een datalek, gebrekkige datakwaliteit of zodra data per ongeluk verwijderd is? Laat alle deelnemers maar hardop nadenken, zoals tijdens een brainstormsessie of -workshop. De geleverde input geeft inzicht in het bruto risico.
Vervolgens stel je de vraag: wat is de kans dat het geschetste scenario van de vorige vraag zich daadwerkelijk voordoet, met alle beheersmaatregelen in acht genomen? Dat geeft een beeld van het netto risico. Op die manier krijg je een beeld van de concrete(re) risico’s, waarvoor je duidelijke beheersmaatregelen kunt treffen. Of je komt erachter dat het qua risico eigenlijk allemaal wel meevalt, waardoor je met een vertrouwd gevoel van start of door kan gaan met het gebruik van data.
Auteurs: Wendy Tran en Maurice Reedijk – PM Partners
Zorg voor een optimaal Privacybeleid in jouw organisatie!
De Algemene Verordening Gegevensbescherming (AVG), verplicht alle overheidsinstellingen en bedrijven die zich toeleggen op extra privacygevoelige activiteiten, om een Data Protection Officer (DPO) / Functionaris Gegevensbescherming (FG) aan te wijzen. Ook voor andere organisaties is de aanwijzing van een DPO een verstandige keuze. Leer tijdens de opleiding Data Protection Officer in 4 dagen je (nieuwe) functie als DPO/FG goed vorm te geven.
Bezoek de website