Moet ik een DPIA uitvoeren?

Krijg je als MSP te maken met persoonsgegevens, dan krijg je te maken met de AVG. Niks nieuws. Die AVG schrijft voor dat als er met het verwerken van die persoonsgegevens grote privacy risico’s kunnen ontstaan, je een DPIA moet uitvoeren. Een wat?! Een DPIA, een Data Protection Impact Assessment. Maar wat is dat precies en is het verplicht?

Je komt de DPIA ook nog wel eens tegen onder zijn Nederlandse naam: Gegevensbeschermingseffectbeoordeling of GEB, maar dat is natuurlijk geen doen, dus wij houden het lekker bij DPIA, net als de rest van de wereld. Over het hoe en wat schreef NOREA, de beroepsorganisatie voor IT-auditors, een handige handreiking. Wij geven je hier de korte versie.

Wat is een DPIA?

Als je een ISO 27001 certificaat hebt, heb je waarschijnlijk al wel eens een risicoanalyse uitgevoerd voor wat betreft je databescherming. Een DPIA spitst zich toe op de risico’s voor de privacy bij het verwerken van persoonsgegevens. Je voert een DPIA niet uit op het gehele bedrijfsproces, maar voor elk onderdeel in het proces waar verwerking van persoonsgegevens bij komt kijken. DPIA staat voor Data Protection Impact Assessment en is een tool om:

• de gegevensverwerking die je doet, duidelijk te beschrijven,
• de rechtmatigheid van de verwerking te beoordelen,
• de risico’s ervan vast te stellen en vervolgens
• maatregelen te bepalen om de mogelijke negatieve gevolgen te voorkomen of te verlagen tot een aanvaardbaar niveau.

En wat zijn dan precies die ’risico’s van een gegevensverwerking’? Volgens de beschrijving in de AVG gaat het om risico’s voor de rechten en vrijheden van natuurlijke personen. Wij noemen die personen in onze artikelen betrokkenen.

Voordelen van een DPIA

Een goed uitgevoerde DPIA geeft je inzicht in de risico’s die de verwerking oplevert voor de betrokkenen. En daaruit haal je weer de maatregelen die je moet nemen om de risico’s af te dekken. Ook zie je welke restrisico’s er over blijven, zodat je ook daar maatregelen voor kunt treffen.

Een DPIA is vooral richtinggevend. Door de stappen te doorlopen, zie je waar in de verwerking of het bedrijfsproces privacyrisico’s zijn. Je kunt dan direct al maatregelen in het proces inbouwen om onaangename verrassingen te voorkomen. Een DPIA is in die zin corrigerend. Tijdens het uitvoeren van een DPIA kan namelijk naar voren komen dat het nodig is om eerdere keuzes te heroverwegen.

Het uitvoeren van een DPIA kan zorgen voor vertrouwen binnen én buiten de organisatie. Het verzamelen van de informatie voor het beantwoorden van veiligheidsvragen helpt medewerkers en leidinggevenden bij de besluitvorming en het afleggen van verantwoording. En het draagt daarmee ook bij aan bewustwording.

Is een DPIA verplicht?

Er zijn verschillende soorten verwerkingen waarvoor een DPIA altijd verplicht is. De Autoriteit Persoonsgegevens heeft daar een lijst voor samengesteld.

In andere gevallen is het afhankelijk van het risico voor de betrokkenen van de persoonsgegevens. Je bent verplicht een DPIA uit te voeren als je zelf (of je klant, of samen met je klant) hebt ingeschat dat er sprake is van een hoog privacy risico voor de betrokkenen van de persoonsgegevens. Hóe je dat risico bepaalt is dus geen onderdeel van de DPIA, maar gaat eraan vooraf. En eigenlijk wordt de stelling meestal omgedraaid: Je voert voor processen met gegevensverwerking altijd een DPIA uit, tenzij je goed kunt onderbouwen waarom het niet nodig is.

European Data Protection Board

Het EDPB (European Data Protection Board) heeft 9 criteria opgesteld. De vuistregel is dat als je aan twee of meer van deze criteria voldoet, je een DPIA moet uitvoeren:

1. Beoordelen van mensen op basis van persoonskenmerken – Denk aan: een bank die de kredietwaardigheid van klanten bepaalt of een bedrijf dat websitebezoekers volgt om profielen van deze mensen op te stellen.
2. Geautomatiseerde beslissingen – Bijvoorbeeld automatische beslisbomen die ertoe kunnen leiden dat de betrokkene wordt uitgesloten of gediscrimineerd.
3. Stelselmatige en grootschalige monitoring – Monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. De betrokkenen weten niet altijd dat hun gegevens worden verzameld, door wie en wat daar vervolgens mee gebeurt. En ze kunnen er ook niet aan ontkomen.
4. Gevoelige gegevens – Zoals beschreven in artikel 9 van de AVG. Informatie over iemands politieke voorkeuren, strafrechtelijke gegevens en gegevens als elektronische communicatie, locatiegegevens en financiële gegevens.
5. Grootschalige gegevensverwerkingen – Gegevens van grote groepen mensen die over langere tijd verzameld worden en voor een groot geografisch gebied gelden.
6. Gekoppelde databases – Bijvoorbeeld databases uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of van verschillende partijen, die voor betrokkenen niet direct logisch is.
7. Gegevens over kwetsbare personen – Bij kwetsbare personen zijn het anderen dan de betrokkenen zelf die over de toestemming of weigering van gegevens beslissen, bijvoorbeeld in het geval van werknemers, patiënten of kinderen.
8. Gebruik van nieuwe technologieën – Nieuwe technologie kan betekenen dat er ook nieuwe manieren van gegevens verzamelen ontstaan. Met een DPIA kun je zien of er risico’s aan vast zitten en zo ja, welke.
9. Blokkering van een recht, dienst of contract – Als de verzamelde gegevens gebruikt worden om een beslissing te nemen met bepaalde gevolgen voor de betrokkene. Bijvoorbeeld bij het afsluiten van een lening bij een bank.

Dus: wanneer voer je een DPIA uit?

Je moet een DPIA moet uitvoeren als je start met een nieuwe gegevensverwerking of als er iets verandert in een bestaande gegevensverwerking en het bijzondere en/of gevoelige persoonsgegevens betreft:

Een verandering in de verwerking
Bijvoorbeeld als je nieuwe technologie gaat gebruiken, of als je de persoonsgegevens ook voor een ander doel wil inzetten. In deze gevallen kan een DPIA verplicht zijn.

Een verandering in het risico
Als het verwerkingsproces of een onderdeel daarvan wijzigt (bijvoorbeeld door nieuwe technologie), kan dat ook invloed hebben op het risico voor de betrokkenen.

Een verandering in de omgeving
Soms verandert de context van de organisatie of de maatschappelijke context. Er kunnen zo bijvoorbeeld nieuwe categorieën mensen kwetsbaar worden voor discriminatie.

Zoals je ziet is het goed om regelmatig, bijvoorbeeld elke drie jaar, een DPIA uit te voeren. Technologie die steeds slimmer wordt is erg handig in gebruik, maar kan dus wel invloed hebben op je gegevensbescherming. Houd dat altijd in de gaten als je een nieuwe app of werkomgeving introduceert bij je klant. Wij implementeren met ISO implementatietrajecten de check of er bijzondere persoonsgegevens zijn in de impactanalyses bij Projecten en Niet – Standaard wijzigingen (Informatiebeveiliging moet onderdeel zij van projecten ongeacht het type projecten).

Maar het is dus niet verplicht als je niet met gevoelige gegevens werkt.

Hoe voer je een DPIA uit?

Als MSP voer jij niet zelf een DPIA uit bij je klant. De verantwoordelijkheid voor het uitvoeren van een DPIA ligt in principe bij jouw klant zelf, de verwerkingsverantwoordelijke van een proces. Die moet het belang opmerken en het proces in gang zetten. Ook is het jouw klant die de juiste mensen inschakelt.

Wie zijn er bij een DPIA betrokken?

Om een DPIA goed uit te kunnen voeren moeten er verschillende rollen aangehaakt zijn, onder andere:

• Proceseigenaar
  • Onder andere voor een beschrijving van de beoogde persoonsgegevens
• Systeemeigenaar, MSP, functioneel beheerder en/of technisch beheerder
  • Voor een omschrijving van de gegevensverwerking, de systemen en voor de risicobeoordeling met bijpassende maatregelen
• Juridische experts
  • Onder andere voor het beoordelen van de rechtmatigheid voor gegevensverwerkingen en de risicobeoordeling.
• Informatiebeveiligingexperts (FG en Privacy Officer)
  • Bijvoorbeeld voor de risicobeoordeling en het vaststellen van de voorgenomen maatregelen.
• De verantwoordelijke voor de technische implementatie/initiatiefnemer
  • De projectleider of medewerkers uit het veld.

Wat staat er in een DPIA

Eerst wordt er gekeken welke persoonsgegevens er verwerkt gaan worden en waarom. Zijn alle gegevens die worden gebruikt ook noodzakelijk? Wie heeft er toegang? Waar worden gegevens opgeslagen en zijn ze op de juiste wijze beveiligd? Naar aanleiding van een DPIA moeten vaak maatregelen worden genomen om een project ‘privacyvriendelijker’ te maken, door bijvoorbeeld minder gegevens op te vragen en/of de gegevens beter te beveiligen.

Er is niet één vaste manier om een DPIA uit te voeren. Je kunt verschillende soorten vragenlijsten gebruiken, zolang ze maar voldoen aan de basisvereisten uit de AVG beschreven. NOREA heeft naast de Handreiking DPIA ook een Raamwerk DPIA, waar je eigenlijk alle belangrijke vragen in kunt vinden.

Er moet in ieder geval dit in staan:

• Een systematische beschrijving van de gegevensverwerkingen en de bedoeling ermee. Beroep je je als organisatie bijvoorbeeld op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook mee en licht het toe in de beschrijving. 
• Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen. Dat houdt in: is deze manier van verwerken van persoonsgegevens noodzakelijk om het doel te bereiken of kan het ook anders (minder ingrijpend)? Oftewel: is de inbreuk op de privacy van de betrokkenen in verhouding tot dit doel?
• Een beoordeling van de privacyrisico’s voor de betrokkenen.
• De beoogde maatregelen om
  • de risico’s aan te pakken (zoals waarborgen en veiligheidsmaatregelen)
  • aan te tonen dat je aan de AVG voldoet.

Zorg ervoor dat je bij je klant aan tafel komt als deze aankondigt een DPIA uit te voeren. Zo ben je in de positie om mee te denken over het proces van de gegevensverwerking en de maatregelen die je kunt nemen. Daarmee voorkom je dat je klant met een vooropgesteld plan komt dat wellicht niet aansluit bij wat jij kunt bieden. Wijs je klant op het Raamwerk van NOREA, dan hebben jullie een goede basis om van te beginnen. Zorg er ook voor dat de afspraken helder zijn in bijvoorbeeld de verwerkersovereenkomst over eventuele kosten en wie deze betaald.