Print:

Data Protection Impact Assessments (DPIA’s): uitdagingen én kansen

Een open gesprek over risico’s en dilemma’s is misschien wel het belangrijkste onderdeel van Data Protection Impact Assessments (DPIA’s). Dat zegt Robin Lindeman, privacy officer bij Achmea Bank. Hij vertelt over de uitdagingen, praktijkervaringen en toegevoegde waarde van DPIA’s als onderdeel van risicobeheersing.

Robin Lindeman IIR“Als je de uitvoering van een Data Protection Impact Assessment (DPIA) simpelweg over de schutting gooit bij een collega, dan is de kans groot dat er niets gebeurt. Als privacy officer begeleid ik de collega’s binnen de business die een DPIA uitvoeren en denk ik mee over een praktische aanpak”, vertelt Robin Lindeman, een van de gastdocenten van de tweedaagse praktijkcursus DPIA’s en risicobeheersing. Hij werkt sinds 2007 als senior legal council bij Achmea Bank, waar hij sinds 2013 ook de functie van privacy officer vervult.

Risico control framework

Achmea Bank is onderdeel van Achmea, een van de grootste verzekeraars van Nederland, en biedt hypotheek- en spaarproducten. De bank, met zo’n 250 medewerkers in dienst, is een regie-organisatie die de uitvoering van de bancaire activiteiten extern heeft belegd. Lindeman: “Om de risico’s in de keten te beheersen hanteren we een control framework waarin we risico’s benoemen. Daarin zijn ook diverse testen opgenomen, waaronder de DPIA. Iedereen toetst eerst of het nodig is om een DPIA uit te voeren.” Hiervoor heeft Achmea een speciaal template ontwikkeld, dat is gebaseerd op de criteria van de Autoriteit Persoonsgegevens (AP) en de European Data Protection Board (EDPB).

Als uit de toets blijkt dat een DPIA nodig is, helpt een template met vier onderdelen om vanuit verschillende disciplines – waaronder juridische zaken, IT en contractering – naar de risico’s te kijken. “De initiator van een project, proces of systeem heeft doorgaans de meeste kennis over het wat, waarom en hoe van de voorgenomen gegevensverwerking. Deze collega gaat daarom meestal van start, waarna andere betrokken afdelingen met de DPIA vanuit hun eigen discipline en rol aanhaken”, vertelt Lindeman over de manier waarop Achmea Bank het proces voor de uitvoering van DPIA’s heeft ingericht. “In een slotsessie doorlopen we gezamenlijk alle risico’s die in kaart zijn gebracht. Hebben we alle risico’s in beeld, sluiten de maatregelen voor risicovermindering op elkaar aan, lopen we tegen onopgeloste dilemma’s op?” De Functionaris voor de Gegevensbescherming (FG) van Achmea bekijkt uiteindelijk de rapportage van de DPIA.

Draagvlak voor DPIA’s

Onder de Algemene verordening gegevensbescherming (AVG) is een DPIA in een aantal gevallen verplicht. Achmea voerde al vóór de komst van de AVG Privacy Impact Assessments (PIA’s) uit. DPIA’s werden vervolgens onderdeel van de AVG-implementatie en zijn inmiddels ingebed in de werkwijze van de organisatie. Toch is het draagvlak voor DPIA’s niet altijd vanzelfsprekend, signaleert Lindeman. “Vooral bij collega’s er nog niet eerder mee hebben gewerkt, bestaat nog wel eens het beeld dat een DPIA lastig en tijdrovend is, en remmend werkt op de voortgang van een project. Ook lange vragenlijsten roepen weerstand op. Collega’s moeten vanuit ons control framework al zo veel vragenlijsten en checklists doorlopen. Daarom hebben we onze eigen, compacte formats voor DPIA’s gemaakt. Als collega’s daarmee eenmaal aan de slag zijn, zien ze vaak ook wel het nut in en worden ze gaandeweg enthousiaster.”

Naast het creëren van draagvlak signaleert Lindeman ook een andere uitdaging: het op peil houden van het bewustzijn van de noodzaak om DPIA’s uit te voeren. “Aanvankelijk hebben we best wat zendingswerk moeten doen om collega’s op de hoogte te brengen van het feit dat er bij nieuwe gegevensverwerkingen een DPIA-toets moet worden gedaan. De verantwoordelijkheid voor een DPIA is ook niet eenvoudig intern te beleggen bij één persoon.” Bij Achmea Bank zijn een aantal plekken aangewezen waar de DPIA-toets standaard plaatsvindt. Bijvoorbeeld bij afdelingen die zich bezighouden met projecten, productmanagement en contractmanagement. “Hierdoor hebben diverse managers de uitvoering van DPIA’s in de portefeuille, wat bijdraagt aan een brede bekendheid van het instrument. Het nadeel is dat het voor privacy officers lastiger is om hierop regie te voeren.”

DPIA’s beheersbaar houden

Er is geen vaststaande methode om DPIA’s uit te voeren. De AP benoemt wel een aantal basisvereisten waaraan een DPIA moet voldoen en is er een checklist om te bepalen of een DPIA noodzakelijk is. Daarnaast adviseert de AP om de uitkomsten van een DPIA, of een samenvatting daarvan, te publiceren. “Er is nog wel eens discussie over wat een DPIA nu precies is, en wat als goede voorbeelden gelden. Bij kleine projecten adviseren we als privacy officers om eerst met de betrokkenen in gesprek te gaan over de plannen en hoe deze passen bij de AVG en ons privacybeleid. Dat gesprek is misschien wel het belangrijkste aan de DPIA. Een uitgebreide vragenlijst mag geen struikelblok zijn om met elkaar te bespreken welke risico’s en dilemma’s er spelen.”

De beheersbaarheid van DPIA’s is hierbij volgens Lindeman een belangrijk aandachtspunt. “We hebben op het hoge niveau van de twee productketens van Achmea Bank – hypotheken en spaarproducten – DPIA’s uitgevoerd. Als er dan een nieuw hypotheekproduct wordt ontwikkeld, blijken veel vragen al eerder beantwoord te zijn. Er worden misschien wat extra persoonsgegevens verwerkt, maar de processen om met risicovolle verwerkingen om te gaan zijn al ingericht. Is onze DPIA-toets misschien te streng? Interpreteren we de criteria over een verplichte DPIA te strikt? Je wilt niet honderden DPIA’s per jaar uitvoeren.” De privacy officers van Achmea bespreken daarom regelmatig hun ervaringen om tot een optimale werkwijze te komen, die recht doet aan het belang van een AVG-toets én werkbaar is voor de dagelijkse werkpraktijk.

Awareness als missie

Ondanks de uitdagingen bij de uitvoering van DPIA’s heeft het instrument absoluut meerwaarde voor de organisatie, vindt Lindeman. De voordelen hebben niet alleen te maken met risicobeheersing. “Omdat er meerdere partijen in de organisatie bij de uitvoering van een DPIA zijn betrokken, inclusief de business zelf, wordt er meer over dataprotectie gesproken en groeit de privacy awareness.”

“Mijn missie is om mensen te laten zien dat een DPIA die in een vroege fase van een project wordt ingezet echt meerwaarde heeft. Je kunt de analyse dan inzetten als een soort privacy by design”, zegt Lindeman. “Natuurlijk kost een DPIA wel wat tijd. De uitdaging is om mensen te overtuigen dat deze tijdsinvestering de moeite waard is.”

Meer weten over effectief risicomanagement en de rol van DPIA’s daarin? Volg dan de tweedaagse praktijkcursus DPIA’s en risicobeheersing.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten