Sinds 2016 heb ik zo’n 150 DPIA’s uitgevoerd en tal van DPIA trainingen gegeven. Wat zijn de vijf meest gestelde vragen over DPIA’s? Ik zet ze even op een rij.
(En voor degenen die niet weten wat een DPIA is dan meteen maar antwoord op die eerste vraag: wat is een Data Protection Impact Assessment? Het is een specifiek soort privacy risico analyse, die in bepaalde situaties verplicht is vanuit de privacywetgeving, de AVG.)
Is een DPIA een toetsinstrument?
Nee. Veel bestuurders denken dat als een DPIA is uitgevoerd, dat de wet wordt nageleefd. Maar dat is niet terecht. Immers: de DPIA kan allerlei risico’s bevatten, waarvan een organisatie moet bepalen wat ze er mee wil doen. Maar als de DPIA geen ‘vinkje is wat je even zet’, wat is het dan wel?
De instructie voor het DPIA model voor de Rijksdienst geeft een duidelijke beschrijving: ”Een DPIA is geen instrument om vast te stellen of een voorgenomen gegevensverwerking in lijn is met de privacyregelgeving (compliance). Met de uitkomsten van een DPIA moet wel rekening worden gehouden bij het bepalen van de passende maatregelen die moeten worden genomen om aan te kunnen tonen dat de privacyregelgeving wordt nageleefd bij het verwerken van persoonsgegevens.”
Het beeld van de DPIA als een Romeinse keizer die met zijn duim omhoog of omlaag een verwerking goed- of afkeurt is dus niet terecht. De DPIA vat de verwerkingen samen, onderbouwt de rechtmatigheid, schetst risico’s en bevat suggesties voor verbeteringen.
Moet ik voor ieder proces een DPIA doen?
Soms wel, soms niet Een DPIA is wettelijk verplicht als een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen. Daarvan is bijvoorbeeld sprake van bij profiling, maar ook wanneer er op grote schaal bijzondere persoonsgegevens worden verwerkt en wanneer stelselmatige en grootschalige monitoring van de openbare ruimte plaatsvindt. De EDPB en de AP hebben nader uitgewerkt wanneer het verplicht is om een DPIA uit te voeren, zie (bijvoorbeeld: link naar het PDF).
Als je niet wettelijk verplicht bent om een DPIA uit te voeren, kan het nog steeds wel een goed idee zijn, bijvoorbeeld er grote schaal gegevens worden verwerkt die betrokkenen ‘gevoelig’ vinden (salarisgegevens, beoordelingen van het functioneren van mensen).
De meeste organisaties die ik tegenkom hebben tussen de 20 en 150 verwerkingen. En voor sommige organisaties (bijvoorbeeld in de zorg, farmacie, zorgverzekeraars, gemeenten) betekent dit dat in veel van deze verwerkingen ook (gevoelige of bijzondere) persoonsgegevens worden verwerkt die ‘DPIA waardig’ zijn. Moet je dan ook voor al deze verwerkingen een DPIA doen? Eh… ja!
Andere organisaties verwerken hebben nauwelijks verwerkingen die voorkomen op de lijsten voor verplichte DPIA’s. Die zullen dan ook zelden of nooit een DPIA uitvoeren.
Kan je een DPIA uitvoeren op een systeem.
Ja, maar of het nuttig is … Moet je een DPIA uitvoeren op een proces of op een systeem. Het heeft mijn voorkeur om een DPIA uit te voeren op een proces en daarbij ook te kijken naar de gebruikte systemen. Maar is het mogelijk om een DPIA uit te voeren op alleen een systeem? Dat kan wel, maar je moet je afvragen of dit wel zo zinvol is. Daarbij geldt wel: je hebt systemen en systemen.
Even wat voorbeelden: kan je een DPIA uitvoeren op een generiek systeem zoals Office 365 of een Document Management Systeem of CRM systeem? Het kenmerk van deze systemen is dat de gebruiker zelf volledig kan bepalen welke gegevens worden verwerkt. Bij dergelijke systemen kan je wel een DPIA uitvoeren, maar word je erg beperkt in het beantwoorden van (als je hieronder naar het VKA DPIA wiel kijkt) van vragen rondom doelbinding / grondslag, juistheid, minimalisatie en transparantie. Het systeem weet immers niet wat voor gegevens de gebruiker erin zet, waarvoor en waarom. In dat geval kan je de DPIA niet volledig uitvoeren en kan je hoogstens een deel van de beveiligingsaspecten en opslag aspecten evalueren.
Een DPIA op een systeem heeft meer nut als je de DPIA uitvoert op een systeem met een specifieker doel. Denk hierbij aan een pakket voor de salarisadministratie, een Client Volg Systeem of een systeem waarmee de beveiligingscamera’s worden bediend. In die gevallen weet je beter waarvoor het systeem wordt gebruikt en wat de specifieke gebruikskenmerken en –beperkingen zijn. Maar het feit dat je een systeem voor het bekijken van camerabeelden betekent niet dat je de grondslag op orde hebt, de camera’s goed zijn ingesteld en dat de wettelijke bewaartermijnen voor de beelden automatisch worden gerespecteerd.
Kortom: een DPIA van een systeem is altijd beperkt, als het systeem niet iets zegt over het proces waarin het wordt gebruikt.
Copyright VKA.
Hoeveel tijd kost een DPIA?
Reken niet te krap. Een beetje serieuze DPIA kost in mijn ervaring gemiddeld 3 tot 4 dagen van de opsteller van de DPIA: het doorlopen van deUitgelichte afbeelding kiezen relevante vragen, het verzamelen van de juiste informatie, de zorgvuldige vastlegging én de toelichting op het resultaat.
Voor DPIA’s waar je een paar keer moet terugkomen is 5-8 dagen een realistische inschatting.
Bij DPIA’s waarbij je moet voorzien in een rapportage die bedoeld is voor openbare publicatie (met name in het publieke domein), kost het DPIA makkelijk tientallen dagen om een DPIA op te stellen.
Kan je DPIA’s automatiseren.
Liever niet! Er zijn verschillende tools en spreadsheets op de markt die DPIA’s automatiseren. Dit doen ze door aan de hand van een standaard vragenlijst ook standaard maatregelen voor te stellen. Ik heb tal van dit soort tools uitgeprobeerd, maar heb altijd ondervonden dat ze uiteindelijk niet werkten omdat de maatregel niet specifiek genoeg was zodat je ook echt effectief was in het beoordelen en behandelen van privacy risico’s.
Kortom: volgens mij kun je DPIA’s niet automatiseren en moet je dit ook niet willen.
Waarom het niet kan: er bestaat geen lineaire relatie tussen de vragen die je in een DPIA stelt (bijvoorbeeld op basis van het NOREA model of het model van de Rijksdienst) en de maatregelen die je zou moeten treffen. Iedere DPIA is immers anders als gevolg van (zie het Wiel) de specifieke scope van de DPIA, de wijze van Governance en de Cultuur van de mensen die met de gegevens werken. Elke DPIA is daarmee anders. Door te automatiseren beschouw je een DPIA als eenheidsworst en kom je met een standaard set aan maatregelen. Dit werkt niet. Daar waar bij de ene situatie een bepaalde maatregel effectief is, hoeft dit in andere situaties helemaal niet zo te zijn.
Waarom moet je het niet willen: als privacy officer of FG moet je in gesprek zijn met de organisatie. Daarvoor heb je vanuit de AVG twee krachtige instrumenten: Privacy by Design en de DPIA. Aan de hand van beide kan je met je organisatie in gesprek over hoe zij hun processen en systemen privacy vriendelijk zouden kunnen inrichten. Door het automatiseren raak je dat contactmoment kwijt. En dat is toch zonde?
Binnen het DPIA proces zijn er wel een paar zaken die je kunt automatiseren, maar dat geldt vooral als je er veel moet doen, de resultaten moet consolideren en als je de vervolgacties wilt volgen. Maar automatiseer dan alleen het verantwoordingsdeel van de DPIA. En niet de uitvoering, waarbij je in gesprek bent met je organisatie.
Dan heb je wellicht nog één vraag: hoe kan ik leren om een DPIA te doen? Dat vraagt iets meer werk, wellicht kan ik je helpen via de door mij gegeven Gladwell DPIA trainingen.