DPIA-inventarisatie in 5 stappen: zo doe je dat! (IIR)

Ben jij een privacy officer/adviseur/functionaris binnen een gemeente of publieke instelling? Dan is deze blog voor jou. Wij vroegen Kenneth Sleijpen privacy officer bij gemeente Sittard-Geleen om zijn uitdagingen en oplossingen rondom DPIA’s eens op papier te zetten. Lees zijn stappenplan en een aantal opmerkelijke bevindingen bij de uitvoering en opvolging van DPIA’s en het adequaat beheersen van privacy risico’s en mitigerende maatregelen.

Kip zonder kop

Zelf ben ik nu een aantal maanden werkzaam als privacy officer binnen, maar ik zie gelijk grote verschillen met de commerciële sector als het gaat om privacy risico’s en beheersing daarvan. Zo is het nog niet makkelijk om alle privacy risico’s in kaart te brengen van een hele afdeling. Hoe voorkom je dat je als een kip zonder kop van start gaat? In deze blog beschrijf ik een stappenplan om jou verder te helpen, zoals het mij geholpen heeft. Laat me vooral weten wat je ervan vindt en veel leesplezier!

Stap 1 – Inventariseer

Ken je dat gevoel dat er waarschijnlijk veel privacy risico’s zijn, maar je hebt geen idee waar je moet beginnen? Je vliegt van casus naar casus, maar komt eigenlijk niet tot de wortel van het probleem? Stop! Even pas op de plaats.

Start met een privacy inventarisatie. Creëer een nullijn voor jouzelf en de organisatie. Dit is met name van belang als je (nog) zicht wilt krijgen op een afdeling binnen de organisatie. Het heeft geen zin om lukraak DPIA’s op te starten. Anders ga je een kleine brand blussen terwijl ergens anders een bosbrand gaande is.

Ga daarom in gesprek met de eindverantwoordelijk van de afdeling en zorg dat je in contact komt met alle proceseigenaren. Deze mensen dienen vervolgens helder de verwerkingen te omschrijven om zo een betere risico analyse uit te voeren. Dit kan via een vragenlijst of gesprek. Wees daarbij creatief zolang je onderstaande zaken maar helder beschreven krijgt.

  • Omschrijving van de verwerking (project, systeem of proces);
  • Soort (bijzondere) persoonsgegevens;
  • Heldere doelomschrijving;
  • Juridische grondslag op basis van artikel 6 AVG;

Vervolgens kijk je goed of er sprake is van een hoog privacy risico waardoor een DPIA verplicht is. Gebruik hiervoor de 9 criteria van Europese toezichthouders. Afsluitend controleer je de verplichte DPIA lijst van de Autoriteit Persoonsgevens. Na stap 1 heb je een helder inventarisatie van de verwerkingen binnen de afdeling en kan je prioriteiten gaan stellen.

Stap 2 – beoordeel

Nadat je alles in kaart hebt gebracht ga je na welke verwerking het hoogste risico heeft. Bespreek dit met de FG. Kijk ook vooral naar de 9 criteria en lijst van de Autoriteit Persoonsgegevens die bij stap 1 staan genoemd. Maak vervolgens een DPIA planning. Het kan zijn dat er tien DPIA’s nodig zijn, maar richt je op de nieuwe verwerkingen met het hoogste privacy risico. Je kan beter gelijk de kraan dicht zetten dan dat je eerst gaat dweilen. De anderen DPIA’s zet je later op de planning afhankelijk van mogelijke impact. Zo kun je altijd verantwoorden waarom bepaalde DPIA’s nog niet zijn uitgevoerd mocht de Autoriteit Persoonsgegevens vragen stellen.

Stap 3 – Zoek de verantwoordelijke

Binnen jouw organisatie dient er iemand de ‘DPIA-verantwoordelijke’ te zijn. Dit is de persoon die binnen de organisatie verantwoordelijk is voor het uitvoeren van de DPIA en daarmee het voortouw neemt in het DPIA-proces. In de praktijk is er altijd een enorme verbazing wanneer duidelijk wordt dat een Privacy adviseur dus niet de verantwoordelijk is. Die fungeert wel altijd als adviseur in het DPIA-proces en heeft vaak de meest inhoudelijke kennis. Als privacy adviseur dien je ondersteunend te zijn in een DPIA. Zo heb je ook nog anderen die ondersteuning moeten bieden. Denk aan juridische zaken of een deskundige op het gebied van informatiebeveiliging. De DPIA-verantwoordelijke zorgt dat deze personen worden betrokken en zet acties en verantwoordelijkheden binnen de organisatie uit.

Zorg wel dat je als privacy adviseur het voortouw neemt als jouw organisatie nog weinig ervaring heeft met DPIA’s. Zelf vind ik het handig om een soort startsessie te maken met de DPIA-verantwoordelijke. Leg tijdens deze sessie uit wat een DPIA is en hoe het in zijn werk gaat. Je kan natuurlijk je handen er vanaf trekken, maar geloof me dat levert achteraf meer werk voor je op.

Stap 4 – Biedt ondersteuning

Zoals aangegeven bied jij als Privacy adviseur ondersteuning. Je bent eigenlijk ondergeschikt aan het proces. Ik zeg dit niet om je een rotgevoel te geven, maar besef je wel dat je ondersteunend bent aan een hoger doel. Het doel is niet voldoen aan de AVG. Het doel is vaak in het verlengde om een bijdrage te leveren aan de samenleving, dienen van het algemeen belang. Dat moet uiteraard binnen de juiste juridische kaders, maar voldoen aan de AVG is geen doel op zich. Zorg daarom dat je niet streeft naar een 100% risicoloze organisatie, maar help de DPIA-verantwoordelijke met goed advies om een weloverwogen besluit te nemen en de risico’s te verkleinen.

Stap 5 – Leg het voor bij de FG

Als privacy officer buig je je over de legitimiteit van de verwerking. Stem je intern af of de juiste contractuele afspraken gemaakt zijn. Je helpt bij de DPIA om de risico’s te beschrijven en te beoordelen. Vervolgens zorg je dat een afgeronde DPIA voor advies en akkoord wordt voorgelegd bij de FG.

Aan de slag

Deze 5 stappen kunnen jouw helpen om eindelijk helderheid te krijgen over een bepaalde afdeling. Door dit stappenplan ga je praktisch te werk en blijf je weg van het brandjes blussen waar zeer veel privacy adviseurs nog in verzeild raken.

Meer weten over het in kaart brengen van DPIA’s of het auditen van privacy risico’s? Zie onze training DPIA’s en risicobeheersing of Auditjng Privacy of waarbij je extra kennis opdoet die je direct in de praktijk kunt toepassen.

Het bericht DPIA-inventarisatie in 5 stappen: zo doe je dat! verscheen eerst op IIR.

https://iir.nl/blog/dpia-inventarisatie-in-5-stappen-zo-doe-je-dat/