(D)PIA, WAT IS DAT EIGENLIJK

(D)PIA, WAT IS DAT EIGENLIJK

Medio dit najaar mocht ik samen met een lokale gegevensbeheerder een DPIA uitvoeren. Dit was voor DJI waar ik als functioneel beheerder werkzaam ben van een zaaksysteem. Voor de processen beklag- en beroepsaken en schorsingsverzoeken moest naar aanleiding van een recente audit een DPIA worden uitgevoerd. Bijzonder leerzaam om de applicatie, waar bijzondere persoonsgegevens in worden verwerkt, met een diversiteit aan vragen onder de loep te houden. Waarom samen met een lokale gegevensbeheerder? Een DPIA wordt altijd uitgevoerd met de eigenaar van het proces of het systeem.

Die termen PIA en DPIA, hoor je misschien als applicatie- en/of functioneel beheerder de laatste tijd steeds vaker of krijg je er misschien zelf wel  ‘iets’ mee te maken. De afkorting staat voor data protection impact assessment. Maar wat is nu precies een DPIA en misschien wel nog belangrijker: wat hebben wij als applicatie- en functioneel beheerders er mee te maken?

Onder de Algemene verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.In de wet is de officiële term trouwens Gegevensbeschermingseffectbeoordeling Wet, afgekort GEB. Onthou die even voor als je weer gaat scrabblelen.

Dus alleen bij verwerking van persoonsgegevens

Je zou kunnen zeggen: het is een privacy assessment. Maar wel eentje waar wij samen een hele ochtend aan hebben gezeten om deze in te vullen. Niet meer op papier maar in een bijzonder fijne tool die daarvoor wordt ingezet. Je doet natuurlijk alleen een DPIA als je persoonsgegevens verwerkt. Dat kan zijn in een proces, een systeem of een project. Je kijkt daarbij naar de rechtmatigheid van de verwerking: mag je het doen? Is het ethisch verantwoord? Gebruik je niet te veel persoonsgegevens? En, als je ervoor kiest om het te doen: loop je tegen risico’s aan? Als het antwoord daarop ‘ja’ is, dan moet je maatregelen implementeren om de risico’s zo klein mogelijk te maken.

Kwetsbaar

Binnen een organisatie kan het zijn dat bepaalde gegevens vallen onder heel specifieke regelgeving. Het kan gaan om bijzondere persoonsgegevens als seksuele voorkeur en etniciteit. Dat ligt natuurlijk ook heel gevoelig. Je kijkt dus continu of je wel goed bezig bent en zo niet, wat je dan moet doen.

Zijn we nu gereed?

Nee, een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. Je moet altijd blijven monitoren of de gegevensverwerking verandert. Bijvoorbeeld als je een nieuwe technologie gaat gebruiken. Of als je persoonsgegevens voor een ander doel gaat gebruiken. In deze situaties verandert je gegevensverwerking feitelijk in een nieuwe gegevensverwerking. En dan kan een DPIA verplicht zijn. Vanwege deze veranderingen is het aan te raden om periodiek een DPIA uit te voeren. Ook als de gegevensverwerking zelf niet is veranderd. Bijvoorbeeld 1 keer per 3 jaar.

Super leuk om te hebben meegewerkt om de applicatie zo 'bloody secure' te houden. Zal ook zeker niet de laatste keer zijn hoop ik, want dit is ontzettend leerzaam.

Wil je meer weten over een DPIA?

Kijk dan eens op de site van autoriteit persoonsgegevens

Daar vind je o.a. de DPIA-checklist en de 9 criteria voor een DPIA die de Europese privacytoezichthouders hebben opgesteld om te beoordelen of je voorgenomen verwerking van persoonsgegevens een hoog privacyrisico oplevert voor de betrokken personen.