Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

DPIA’s (laten) uitvoeren; hoe doe je dat nou?

1 augustus 2019 Door

Juridisch Product

De privacy juristen van adviesbureau ICTRecht helpen uw organisatie bij het in lijn handelen met de nieuwe privacywetgeving. Van het uitvoeren van een privacy audit tot het opstellen van diverse privacydocumenten; onze privacy juristen staan voor u klaar.

Het uitvoeren van Data protection Impact Assessments (DPIA’s) is vaak een van de hete hangijzers binnen een organisatie. Onder andere het beleggen van de verantwoordelijkheid tot het uitvoeren van DPIA’s levert namelijk al vaak discussies op; niemand lijkt een DPIA echt uit te willen voeren omdat het (commerciële) plannen kan vertragen en dus blijft het vaak liggen. Toch is het uitvoeren van DPIA’s wettelijk verplicht, dus hoe pak je de implementatie van deze verplichting nou succesvol aan?

Modelkeuze

Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Om deze risico’s in kaart te brengen en af te wegen, zijn er verschillende DPIA-modellen in omloop waarbij het als eerste van belang is om te kiezen voor een bepaald model dat je wilt gaan (laten) gebruiken. Voor het kiezen of samenstellen van een model, kun je het beste rekening kunt houden met de volgende factoren:

  • In welke landen is mijn organisatie actief?
  • Hoe risicovol zijn de verwerkingen die binnen mijn organisatie worden verricht?
  • Wie binnen mijn organisatie moeten er DPIA’s gaan uitvoeren, en hoe is hun kennisniveau op het gebied van privacy?

Afhankelijk van het land waarin je actief bent, wil je wellicht een model kiezen of je keuze voor een specifiek model baseren op de richtsnoeren van de betreffende nationale toezichthouder. Laat je bijvoorbeeld inspireren of gebruik modellen/tooling zoals verstrekt door de Franse CNIL of de Engelse ICO.

Daarnaast kunnen de gegevensverwerkingen binnen een organisatie zeer divers zijn. Om die reden wil je wellicht wel opteren voor twee modellen: één model voor de ‘zware’ risicovolle verwerkingen (zoals het migreren van het gehele CRM-systeem naar de cloud) en één light model voor minder risicovolle zaken, maar waar je toch een DPIA op uit wil voeren (zoals voor het gebruik van nieuwe personalisatie cookies op de website). Het verschil in beide modellen is dan gelegen in hoe diepgaand de informatie moet zijn die moet worden verzameld, en de uitwerking daarvan op papier.

Zorg er in ieder geval voor dat je het model in het algemeen zo simpel en eenvoudig mogelijk houdt, en je hierbij rekening houdt met de medewerkers die de DPIA’s moeten gaan uitvoeren. Voor juristen kunnen lange lappen ingewikkeld juridisch jargon namelijk aantrekkelijk zijn, maar dat geldt vaak niet voor de rest van de medewerkers. Het risico is in dat geval dat de kans bestaat dat medewerkers ontwijkend gedrag gaan vertonen, verzet geven bij het neerleggen van de verantwoordelijkheid voor het uitvoeren van DPIA’s of het resultaat half ingevulde questionnaires oplevert omdat niemand begrijpt wat hij/zij nu eigenlijk moet invullen.

Beleid

Als het model er ligt, is het van belang om beleid op te stellen. Het beleid ligt namelijk ten grondslag aan de uitvoering van de DPIA en de uiteindelijke implementatie van de resultaten ervan. Uitgewerkt beleid geeft bijvoorbeeld antwoord op de vraag wie binnen de organisatie de DPIA’s uit zal gaan voeren. Veelal zal dit niet de functionaris gegevensbescherming (FG) zelf zijn (mocht die er zijn) maar dient deze wel te adviseren over de noodzaak tot het uitvoeren van een DPIA en de uitkomst ervan. Daarbij is niet voor alle verwerkingen een DPIA verplicht, en kan de DPIA verplichting (de ‘zwarte lijst’) per land verschillen. Zorg dus dat wanneer je voor een internationale organisatie werkt, duidelijk is welke zwarte lijsten van de verschillende toezichthouders allemaal van toepassing zijn. In hoofdlijnen zijn de belangrijkste punten uit een DPIA-beleid, welke duidelijk op papier dienen te staan:

  • Bij wie de verschillende afdelingen/medewerkers (geplande) risicovolle verwerkingen moeten melden;
  • Wanneer het uitvoeren van een DPIA verplicht is, en wie hierover (in twijfelgevallen) het besluit neemt (de FG);
  • Wie verantwoordelijk is voor het uitvoeren van een DPIA;
  • Welk DPIA-model moet worden gebruikt, en waar dit te vinden is;
  • Op welke wijze de DPIA aan de FG moet worden aangeboden voor advies (wanneer er een FG is);
  • Waar de DPIA intern moet worden opgeslagen en geregistreerd (denk hierbij ook aan opname van de verwerking in het verwerkingsregister);
  • Hoe wordt geborgd dat de DPIA periodiek, indien nodig, wordt geüpdatet.

Een complicatie die je hierbij mogelijk tegenkomt is dat er reeds een hoop risicovolle verwerkingen worden verricht, waarvoor nog nooit een DPIA is gedaan. Dit moet uiteraard wel, ondanks het feit dat de verwerkingen al enige tijd plaatsvinden. De meest pragmatische oplossing is in dat geval om eerst DPIA’s te gaan (laten) uitvoeren voor geplande hoge risicovolle verwerkingen, en vervolgens pas met terugwerkende kracht aan de slag te gaan met de verwerkingen waar eerder geen DPIA op is uitgevoerd. Hiermee voorkom je namelijk demotivatie, en pak je eerst de verwerkingen aan waarmee medewerkers toch al in hun hoofd bezig waren.

Awareness en training

Als laatste is het van belang om na de keuze voor een model en inrichting van het beleid, aan de slag te gaan met de awareness van medewerkers. Alle medewerkers moeten namelijk weten dat er een DPIA verplichting bestaat, en dat ze dus bepaalde geplande verwerkingen intern moeten melden. Daarnaast is het van belang dat medewerkers die DPIA’s gaan uitvoeren, weten wat en hoe ze dit moeten doen. Deze informatie kan worden gegeven via een (online) training. In een dergelijke training is het van belang dat naar voren komt:

  • Wat het belang van en de gedachte achter een DPIA is;
  • Wat de basisregels uit de privacywetgeving zijn (denk aan mogelijke grondslagen, noodzakelijkheidscriteria, redeneringen achter bewaartermijnen, maar natuurlijk ook de regels waaruit de DPIA verplichting voortkomt);
  • Met welk model de DPIA moet worden uitgevoerd, en hoe dit werkt;
  • Wat de interne procedure is, zoals omschreven in het DPIA-beleid;
  • Welke informatie mensen dienen te verzamelen of acties die zij dienen te verrichten om:
    • te beoordelen of een DPIA verplicht is;
    • de DPIA uit te voeren en vervolgens aan de FG voor te leggen;
    • de DPIA intern op te slaan/te registeren (evt. ook in het verwerkingsregister);
    • de DPIA periodiek up-to-date te houden.

Veel succes met het implementeren van de DPIA-verplichting binnen je organisatie!

Mocht je zelf nog tips hebben voor een succesvolle implementatie die je wilt delen, dan horen we dat uiteraard graag. Hiervoor kun je een reactie achterlaten onder deze blog.

Meer weten over de DPIA? Lees ook onze factsheet over dit onderwerp.

Michelle Wijnant

Oud-medewerker ICTRecht

Michelle Wijnant was werkzaam als juridisch adviseur bij ICTRecht. Binnen ICTRecht hield Michelle zich voornamelijk bezig met alle juridische aspecten rondom privacy.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie