Het uitvoeren van een Data protection Impact Assessment (DPIA en in het Nederlands: gegevensbeschermingseffectbeoordeling) is vaak een van de hete hangijzers binnen een organisatie. Onder andere het beleggen van de verantwoordelijkheid tot het uitvoeren van DPIA’s kan al voor discussies zorgen. Niemand lijkt een DPIA echt uit te willen voeren omdat het (commerciële) plannen kan vertragen en dus blijft het vaak liggen. Toch is het uitvoeren van DPIA’s wettelijk verplicht. Hoe pak je de implementatie van deze verplichting succesvol aan?
Met een DPIA worden vooraf de privacyrisico’s van een gegevensverwerking in kaart gebracht. Om deze risico’s in kaart te brengen en af te wegen, zijn er verschillende DPIA-modellen in omloop. Je kunt zelf kiezen voor een bepaald model dat je wilt gaan (laten) gebruiken, zolang deze maar aan de basisvereisten voldoet uit artikel 35 van de AVG. Voor het kiezen of samenstellen van een model kun je rekening kunt houden met de volgende factoren:
Afhankelijk van het land waarin je actief bent, wil je wellicht een model kiezen of je keuze voor een specifiek model baseren op de richtsnoeren van de betreffende nationale toezichthouder. Laat je bijvoorbeeld inspireren of gebruik modellen zoals verstrekt door de Nederlandse Rijksoverheid, de Franse CNIL, de Engelse ICO.
Daarnaast kunnen de gegevensverwerkingen binnen een organisatie zeer divers zijn. Om die reden wil je wellicht wel opteren voor twee modellen: één model voor de ‘zware’ risicovolle verwerkingen (zoals het migreren van het gehele CRM-systeem naar de cloud) en één light model voor minder risicovolle zaken, maar waar je toch een DPIA op uit wil voeren (zoals voor het gebruik van nieuwe profilering cookies op de website). Het verschil in beide modellen is dan gelegen in hoe diepgaand de informatie moet zijn die moet worden verzameld en de uitwerking daarvan.
Zorg er in ieder geval voor dat je het model in het algemeen zo simpel en eenvoudig mogelijk houdt en daarbij rekening houdt met de medewerkers die de DPIA’s zullen uitvoeren. Voor juristen kan ingewikkeld juridisch jargon aantrekkelijk zijn, maar dat geldt vaak niet voor andere medewerkers. De kans bestaat dat medewerkers in dat geval ontwijkend gedrag gaan vertonen, zich verzetten bij het neerleggen van de verantwoordelijkheid voor het uitvoeren van DPIA’s of dat er niet volledig ingevulde formulieren worden ingediend, omdat men niet (voldoende) begrijpt wat er ingevuld moest worden.
Als het model er eenmaal ligt, is het van belang om beleid op te stellen. Het beleid ligt namelijk ten grondslag aan de uitvoering van de DPIA en de uiteindelijke implementatie van de resultaten ervan. Uitgewerkt beleid geeft bijvoorbeeld antwoord op de vraag wie binnen de organisatie de DPIA’s uit zal gaan voeren. Veelal zal dit niet de functionaris gegevensbescherming (FG) zelf zijn (mocht die er zijn) maar dient deze wel te adviseren over de noodzaak tot het uitvoeren van een DPIA en dient een mening te geven op de uitkomst ervan. In hoofdlijnen zijn de belangrijkste punten uit een DPIA-beleid:
Als laatste is het van belang om na de keuze voor een model en inrichting van het beleid aan de slag te gaan met de awareness van medewerkers. Alle medewerkers moeten namelijk weten dat er een DPIA verplichting bestaat, waardoor ze bepaalde geplande verwerkingen intern moeten melden. Daarnaast is het van belang dat medewerkers die DPIA’s gaan uitvoeren weten wat en hoe ze dit moeten doen. Deze informatie kan worden gegeven via een (online) training. In een dergelijke training is het van belang dat naar voren komt:
Al met al zijn er veel situaties waarbij er een DPIA verplicht is. Uiteraard kunnen wij u helpen met zowel de vraag of dit in uw situatie noodzakelijk is als met de uitvoering van de DPIA.
Meer informatie over dit onderwerp? Kijk dan op onze pagina: 'Data Protection Impact Assessment'.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.