In welke DPIA instinkers ben jij al getrapt?!

Disclaimer: Dit artikel is niet bedoeld om iemand op fouten te wijzen of te beweren dat het opstellen van een DPIA gedoemd is om te mislukken. Aan de hand van de onderstaande stellingen doe ik een poging om jou als lezer te helpen helder te krijgen hoe je zo eenvoudig mogelijk een DPIA kan opstellen. Ik neem de meest voorkomende instinkers onder de loep, zodat jij er na het lezen van dit stuk niet meer intrapt!

Een DPIA uitvoeren op een systeem

Een valkuil waarin veel mensen (ook menig privacy professional!) terecht komen is dat een DPIA wordt uitgevoerd op een systeem. Bijvoorbeeld: De organisatie waar je voor werkt is van plan een prachtig nieuw stuk techniek in de vorm van een applicatie aan te schaffen. In die applicatie worden allerlei persoonsgegevens verwerkt, er worden wat andere applicaties met en zonder persoonsgegevens gekoppeld aan de nieuwste aanschaf, en na het doen van een check blijkt dat hier waarschijnlijk een hoog privacy-risico voor de betrokkenen bestaat.
So far, so good. Als je na het vaststellen dat er een DPIA plaats moet vinden aan de slag gaat, is het wel essentieel dat je je focus verlegt van de applicatie naar de verwerkingen van persoonsgegevens die door het gebruik van de applicatie plaatsvinden. In de DPIA doe je namelijk een privacy-risicoanalyse van de verwerking of verwerkingen van persoonsgegevens die plaatsvinden, en beoordeel je daarnaast als onderdeel van de DPIA ook de applicatie(s) waarbinnen de verwerkingen plaatsvinden, bijvoorbeeld om te beoordelen of ten behoeve van de veiligheid van de persoonsgegevens de applicatie technisch voldoet. Kort gezegd: staar je niet blind op de applicatie, maar houd de focus op de verwerkingen van persoonsgegevens. Breng de gegevensstromen in kaart, niet de applicatie waarbinnen de stromen plaatsvinden.

Geen DPIA = geen risico

Een DPIA brengt privacy risico’s voor de betrokkenen in kaart. Als onderdeel van een DPIA kijk je bovendien of er passende technische en organisatorische maatregelen zijn genomen om de persoonsgegevens die worden verwerkt ook veilig te houden. Als een verwerking van persoonsgegevens waarschijnlijk geen hoog risico voor de betrokkene oplevert, hoef je volgens de AVG geen DPIA uit te voeren. Daarmee is echter niet gezegd dat een dergelijke verwerking van persoonsgegevens geen privacy-risico op kan leveren. Ook bij relatief simpele of op het oog risicoloze verwerkingenkunnen datalekken voorkomen. En ook bij die verwerkingen moet je bijvoorbeeld vaststellen hoe lang je de persoonsgegevens moet bewaren, en wat er na dat termijn gebeurt. Een ander voorbeeld is dat persoonsgegevens die voor een specifiek doel zijn verzameld ineens worden ‘gerecycled’ voor een ander doel. Of er wordt niet vanaf de start van de verwerking nagedacht over welke persoonsgegevens er eigenlijk nodig zijn voor het doel, en daarom te veel informatie verzameld. Allemaal privacy-risico’s die kunnen plaatsvinden, ongeacht of er een DPIA is gedaan voordat de verwerking startte. Met andere woorden: de AVG geldt ook voor de verwerking van persoonsgegevens ten aanzien waarvan een DPIA niet verplicht is.

De DPIA is de go/no go 

De DPIA geeft je inzicht in de bestaande privacy-risico’s, en brengt in kaart hoe je die risico’s kan verkleinen of zelfs wegnemen. Het kan niet zo zijn dat het een laatste vinkje is dat je als projectleider gaat halen, juist dan kan het behoorlijke vertraging opleveren. Hoe eerder in een proces je begint met een DPIA, hoe gemakkelijker de verwerking op de juiste manier kan worden gestart, onder andere door het toepassen van ‘privacy by design’. Feit blijft wel dat het uiteindelijk aan de organisatie zelf is om te besluiten of een verwerking plaats gaat vinden. Een FG moet de DPIA van advies voorzien, maar kan een verwerking niet verbieden. Dat is echt aan de organisatie zelf, om in juridische termen te spreken aan de verwerkingsverantwoordelijke. Als die besluit dat een verwerking, ondanks een hoog risico dat niet wordt gemitigeerd, kan plaatsvinden, is daarmee de kous af. Wel is een organisatie dan verplicht om de verwerking te melden bij de Autoriteit Persoonsgegevens, voordat de verwerking wordt gestart.

DPIA af, dus we zijn klaar!

Een laatste instinker dan: de DPIA is het eindpunt van je traject. Niet waar natuurlijk! Een risico-inventarisatie stelt je in staat om de risico’s die je hebt gevonden en de aanbevolen maatregelen ook echt te beleggen in je organisatie. Samen met je stakeholders heb je geïnventariseerd hoe je er met z’n allen voor kan zorgen dat er voor de betrokkene zo min mogelijk risico’s overblijven. Juist door de inventarisatie van de risico’s en het vaststellen van maatregelen samen op te pakken, krijg je een pragmatische oplossing die past bij de organisatie. Het is dan van belang dat er iemand verantwoordelijk wordt voor het implementeren en monitoren van de maatregelen die je samen hebt bedacht. Als je voor elke maatregel iemand verantwoordelijk maakt, helpt dat om de oplossingen ook echt door te voeren binnen je organisatie. Zo voorkom je dat een DPIA een papieren draak in een la wordt, en niet voldaan wordt aan de AVG.

Verandert je verwerking? Als je verwerking bijvoorbeeld grootschaliger wordt, of er worden na verloop van tijd meer of andere persoonsgegevens verzameld, dan is het zaak om opnieuw te kijken naar de uitgevoerde DPIA. Welke onderdelen veranderen? Levert dit mogelijk andere of grotere risico’s op voor de rechten of vrijheden van de betrokkene(n)? Voer opnieuw een check uit, en zorg er samen voor dat de risico’s klein blijven, door nieuwe maatregelen vast te stellen. Op die manier kom je nooit voor verrassingen te staan en houd je de gegevensstromen binnen de organisatie altijd scherp in zicht.

Complexe DPIA waar je zelf niet uitkomt? Te veel nieuwe initiatieven die je nog niet in kaart hebt gebracht? Neem geheel vrijblijvend contact met ons op, om te kijken hoe we je kunnen helpen. Ik ben bereikbaar via nienke.koorn@lexdigitalis.nl of 06-18088514.