Print:

Data Protection Impact Assessments voor risicogebaseerd privacybeleid: zo werkt het in Almere

De uitvoering van DPIA’s verdient een plek in het strategische risicomanagement – en passen daarom prima in de planning- & controlcyclus. Dat zegt Maritha de Boer, Privacy Information Officer van de gemeente Almere, over de uitdagingen en best practices voor risicogebaseerd privacybeleid.

Maritha de Boer IIR“Data Protection Impact Assessments (DPIA’s) passen mooi in ons risicogebaseerde privacybeleid en in de planning- & controlcyclus van de organisatie”, zegt Maritha de Boer, Privacy Information Officer van de gemeente Almere. Privacycoördinatoren bij de gemeente – die samen met medewerkers die datalekken en verzoeken van betrokkenen afhandelen tot het team van De Boer behoren – voeren regelmatig DPIA’s uit.

DPIA’s en privacy by design

“We zetten privacy zo vroeg mogelijk op de agenda van collega’s, bijvoorbeeld als het gaat om ICT-projecten. Een DPIA doen we in sommige gevallen al in de eerste ontwikkelfase, en daarna nog een keer kort voor of na de implementatie. In andere gevallen zetten we primair in op privacy by design, en fungeert de DPIA als toets tijdens de uitvoering”, vertelt De Boer.

Risicomanagement met DPIA’s

DPIA’s spelen voor de gemeente Almere ook een belangrijke rol in het risicomanagement na incidenten. “Na een datalek of beveiligingsincident gebruiken we een DPIA om na te gaan wat er precies aan de hand is. Soms blijken er achter het gemelde incident dan verschillende zaken niet in orde te zijn. De DPIA helpt om de risico’s te beschrijven en het gesprek met de verantwoordelijke te voeren over de juiste maatregelen om die te verminderen. Hoe gaan we het risico managen, hoe kunnen we gevolgen van het risico verkleinen, welk risico is nog acceptabel?” In een risico-acceptatiedocument worden de maatregelen op een rij gezet die de verantwoordelijke gedurende een bepaalde periode gaat nemen. De Boer en haar collega’s checken periodiek de voortgang.

DPIA’s in de planning- & controlcyclus

De uitvoering van DPIA’s maakt risico’s inzichtelijk die een plek verdienen in de planning- & controlcyclus, vindt De Boer. “De planning- & controlcyclus is van oudsher sterk financieel gericht. Het is belangrijk dat daarbij ook privacyrisico’s bespreekbaar worden. Om managers niet op te zadelen met extra lasten voor compliance & control haken  we met onze aanpak van DPIA’s aan bij de bestaande aanpak van risicomanagement.”

Een van de grootste uitdagingen bij de uitvoering van DPIA’s heeft volgens De Boer te maken met de beperkingen van ondersteunende tooling. “In standaardprocessen met een sterk technische component werken DPIA’s prima. Maar we zouden op basis van DPIA’s ook graag beleidsmatige beslissingen nemen. Het zou mooi zijn als DPIA’s niet alleen risico’s inzichtelijk maken, maar ook aanbevelingen geven over passende maatregelen om de risico’s te adresseren.” Bij DPIA’s die door externen worden uitgevoerd bestaat het risico dat de analyse te sterk juridisch is ingestoken, of dat de rapportage niet goed bruikbaar is in de dagelijkse werkpraktijk.

Drie praktische tips

In haar workshop tijdens de tweedaagse praktijkcursus DPIA’s en risicobeheersing vertelt De Boer over haar ervaringen, uitdagingen en best practices. Praktische tips heeft De Boer volop.

Begin klein
In organisaties met weinig ervaring met DPIA’s, is het volgens De Boer raadzaam om te focussen op projecten met een specifieke scope. “Ik hoor wel eens van organisaties die honderden DPIA’s per jaar doen. Dan bestaat het risico dat het een papieren exercitie wordt. Ik gebruik DPIA’s bij voorkeur om collega’s inzicht te geven en om privacy handen en voeten te geven. Speciaal op plekken waar zich een zichtbaar of groot risico kan voordoen.”

Neem de tijd
“Idealiter worden DPIA’s in de business uitgevoerd. Maar in de praktijk zijn het vaak privacycoördinatoren die het onderwerp oppakken. In beide gevallen kost het echt wel wat tijd om een goede DPIA te maken”, waarschuwt De Boer. De juiste mensen om tafel krijgen, een zorgvuldige analyse maken en de juiste vervolgacties formuleren – het is allemaal niet in een handomdraai geregeld. “In sommige gevallen wordt de uitkomst van een DPIA ook voorgelegd aan de Functionaris voor de Gegevensbescherming (FG) en voeren we na een bepaalde periode opnieuw een analyse uit. Dat vraagt allemaal om aandacht en tijd.”

Stop niet na de DPIA
“Een DPIA heeft als zodanig niet zo veel waarde, het gaat om wat je met de uitkomsten doet”, benadrukt De Boer. “Je bent niet klaar als je de DPIA hebt gemaakt. Sterker nog, dan begint het werk eigenlijk pas: de juiste maatregelen bepalen, de actiepunten opnemen in het proces van risicomanagement, de effecten van de maatregelen beoordelen…. Uiteindelijk is de DPIA een instrument om betere privacybestendige processen en systemen te realiseren. Niet meer en niet minder.”

Meer weten over effectief risicomanagement en de rol van DPIA’s daarin? Volg dan de tweedaagse praktijkcursus DPIA’s en risicobeheersing.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten