Data Protection Impact Assessment (DPIA)

Een Data Protection Impact Assessment (DPIA) is een instrument ter ondersteuning van de implementatie en/of naleving van de bepalingen van de Algemene verordening gegevensbescherming (AVG). Een DPIA brengt de effecten op privacybescherming in kaart als gevolg van een verandering in de verwerking van persoonsgegevens of bij de ontwikkeling van nieuwe producten of diensten. Inhoudelijk is er geen verschil tussen een PIA en een DPIA.

Wanneer een DPIA doen?

Bij iedere verandering van de verwerking van persoonsgegevens is een DPIA onderdeel van de start van het project. Het is de bedoeling dat de projectleider, of de verantwoordelijke, de DPIA uitvoert in een zo vroeg mogelijk stadium. Zo kan direct rekening gehouden worden met de uitkomsten. Wanneer de risico's op inbreuk op de privacy pas in een later stadium worden onderkend, is de kans groot dat noodzakelijke aanpassingen veel tijd en geld kosten. Met een DPIA wordt privacy ingebouwd in de ontwerpfase van het project waarin vertrouwelijke gegevens een rol spelen. We spreken hierbij van “privacy by design”.

Een voorbeeld

Een afdeling van een organisatie besluit de administratie van orders verder te automatiseren. Was de procedure altijd zo dat een aanvraag voor een order werd opgeslagen op een lokale server, nu is het plan om gebruik te gaan maken van een systeem dat aangeboden wordt door een leverancier en benaderbaar is via internet.

Groot voordeel is dat de aanvraag online gedaan kan worden, ook buiten kantooruren, en dat in een snelle verwerking wordt voorzien. Het gevolg is wel dat persoonsgegevens van klanten bij de leverancier “geparkeerd” worden, maar ook dat persoonsgegevens via een website of portal moeten worden ingevoerd.

De vraag is of dat mag en of er voldoende maatregelen genomen kunnen worden om de persoonsgegevens adequaat te beschermen. Een DPIA brengt alle vragen en mogelijke problemen in kaart als gevolg van deze proceswijziging, waardoor in het project direct rekening gehouden kan worden met “de impact”.

Hoe een DPIA te doen?

Er bestaan verschillende methoden voor het uitvoeren van een DPIA. Zo bestaat er een Toetsmodel Privacy Impact Rijksdienst en heeft de beroepsorganisatie voor IT-auditors, NOREA, een ander voorschrift gepubliceerd dat veel toegepast wordt. Het NOREA-voorschrift bestaat uit een vragenlijst waarbij de antwoorden mogelijk tot aanvullingen, wijzigingen of beoordelingen van het project leiden.

De DPIA dient uitgevoerd te worden door functionarissen die bekend zijn met de AVG en met de ICT-voorzieningen in de organisatie. De bepalingen van de AVG zijn overzichtelijk geclusterd in negen hoofdvragen. Voor elke hoofdvraag dient de organisatie haar ambitieniveau te bepalen en tot een feitelijke beoordeling te komen. Dit geeft vervolgens inzicht in de stand van zaken op het gebied van de bescherming van persoonsgegevens binnen de organisatie. Desgewenst kan het management besluiten tot het laten uitvoeren van een (onafhankelijke) review op de uitgevoerde zelfevaluatie. Hiermee verkrijgt dit instrument nog meer waarde voor de organisatie.

Aanpak VTM

Het NOREA-voorschrift is goed toepasbaar in de praktijk. Wij kunnen ons echter voorstellen dat een voorschrift voor accountants en IT-auditors lastig te hanteren is.

Daarom hebben wij het voorschrift vertaald naar een aantal interviews. Deze leggen wij, in gewoon Nederlands, aan u en enkele van uw collega's voor. De antwoorden interpreteren we, mede aan de hand van onze lange ervaring op het gebied van informatiebeveiliging en privacy, en vullen daarna, samen met u, het voorschrift in. De conclusies worden gepresenteerd in een eenvoudige en begrijpelijke rapportage met advies.

Voldoen aan wettelijke eisen

Het is sterk te adviseren om DPIA´s uit te voeren. Hiermee worden direct de risicogebieden zichtbaar en kunnen de juiste beslissingen en maatregelen genomen worden. Sinds 1 januari 2016 zijn alle organisaties verplicht om een datalek of een ongeoorloofde verwerking van persoonsgegevens te melden aan de Autoriteit Persoonsgegevens (AP). Bij onderzoek naar een datalek zal de AP zeker vragen of er een DPIA is uitgevoerd in de projectfase. Indien u deze heeft gedaan, kunt u een rapport overleggen en aantonen dat u er alles aan gedaan heeft een datalek te voorkomen.

Meer informatie

De specialisten van VTM geven u graag meer uitleg over de DPIA. Een DPIA helpt overtredingen, gedoe en missers voorkomen. Maak een afspraak voor een oriënterend gesprek. Dat kan via 0174 52 73 20  of  info@vtmgroep.nl

 

Terug naar overzicht

Volgende

Functionaris gegevensbescherming (FG)