Print:

Drie must-do’s voor data protection impact assessments (DPIA’s)

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

De data protection impact assessment (DPIA) staat bij steeds meer organisaties op de to-dolijst. Wat zijn de best practices?

Onder de Algemene verordening gegevensbescherming (AVG) kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. De analyse is bedoeld om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en daarna passende maatregelen te kunnen nemen om de risico’s te verkleinen. Een DPIA is verplicht als een nieuwe gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Europese privacytoezichthouders onderscheiden negen criteria om te bepalen of er sprake is van zo’n hoog privacyrisico.

AVG-compliance | IIR

 

De verplichting om een DPIA uit te voeren is een van de spannendste onderdelen van de AVG, zegt Friederike van der Jagt, privacy-advocaat bij Hunter Legal. Het is namelijk de vraag hoe de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens (AP), de abstracte criteria voor de verplichte DPIA uit de AVG gaat interpreteren. “In welke situaties geldt die verplichting precies? De AP heeft inmiddels een – overigens niet-uitputtende – lijst opgesteld van gevallen waarin de DPIA verplicht is. Maar deze moet nog op Europees niveau worden goedgekeurd. Uiteindelijk is het aan de toezichthouders om echt knopen door te hakken.”

Over de praktische uitvoering van een DPIA is steeds meer duidelijk. Drie lessons learnt uit de praktijk.

Maak gebruik van hulpmiddelen

Er zijn verschillende manieren om een DPIA uit te voeren. De AVG geeft niet aan welke methode de beste is, maar beschrijft wel een aantal basisvereisten. Zo bevat een DPIA in ieder geval een beschrijving van de beoogde gegevensverwerkingen en de doeleinden ervan, een afweging van de noodzaak en de proportionaliteit, een analyse van de privacyrisico’s voor de betrokkenen en een overzicht van voorgenomen maatregelen om deze risico’s te beperken.

Op de website van de AP is ook een schema te vinden om te bepalen of een DPIA verplicht is. Daarnaast hebben verschillende brancheverenigingen – waaronder NOREA, de beroepsorganisatie van auditors – handreikingen en andere praktische hulpmiddelen ontwikkeld voor de uitvoering van een DPIA.

Zie de DPIA niet als einde maar als beginpunt

De uitvoering van een DPIA kan een flinke klus zijn. Maar het echte werk begint dan eigenlijk pas, zeggen ervaren auditors zoals Mischa van der Vliet van AuditConnect. De DPIA kan namelijk duidelijk maken dat er extra voorzorgsmaatregelen noodzakelijk zijn om de geconstateerde privacyrisico’s tegen te gaan. De maatregelen kunnen variëren van het minimaliseren van dataverzamelingen en het extra beveiligen van systemen tot het pseudonimiseren of zelfs anonimiseren van persoonsgegevens. Als ondanks de voorzorgsmaatregelen toch nog ernstige privacyrisico’s blijven bestaan, is de organisatie verplicht een voorafgaande raadpleging bij de AP aan te vragen. De AP denkt dan mee over de verdere beperking van de risico’s van de voorgenomen verwerking, of adviseert om helemaal van de verwerking af te zien.

Zelfs als eenmaal passende maatregelen zijn genomen – en eventuele restrisico’s zijn afgedekt – is er geen reden om rustig achterover te leunen, waarschuwt Van der Vliet. Wet- en regelgeving verandert, of de organisatie gaat van start met nieuwe gegevensverwerkingen. Dan kan het nodig zijn opnieuw processen en systemen aan te passen. Bovendien betekent de verantwoordingsplicht uit de AVG dat organisaties steeds goed kunnen onderbouwen waarom er geen nieuwe DPIA wordt uitgevoerd.

Let op de risico’s én kijk naar de kansen

Organisaties die de uitkomst van een DPIA naast zich neerleggen, lopen het risico een sanctie van de toezichthouder opgelegd te krijgen. Dat kan gaan om een waarschuwing, last onder dwangsom of boete. De boete kan oplopen tot twintig miljoen euro, of vier procent van de jaaromzet. Misschien wel net zo belangrijk is dat een sanctie van de AP tot flinke imagoschade kan leiden.

Het sanctierisico is voor veel organisaties een sterke drijfveer om aan AVG-compliance te werken. Maar een DPIA is veel meer dan een administratieve last om uit angst voor een boete mee aan de slag te gaan, zegt Van der Vliet. De analyse helpt om tijdig adequate maatregelen te nemen om persoonsgegevens te beschermen. Dit voorkomt dat gegevensverwerkingen, processen en systemen in een later stadium alsnog moeten worden aangepast om aan de AVG te voldoen. Daarnaast adviseert de AP organisaties om de uitkomsten van een DPIA – op hoofdlijnen – te publiceren. Deze transparantie kan namelijk bijdragen aan het publieke vertrouwen in de organisatie.

Meer weten over DPIA’s? In de tweedaagse training AVG-compliance komt het thema uitgebreid aan bod.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten