Werk je met persoongsgegevens? Aan de slag met een DPIA
Geschreven door Niels Jumelet op 31-01-2024

Bij overheidsorganisaties worden dagelijks grote hoeveelheden persoonsgegevens verwerkt. Het waarborgen van de privacy van de betrokkenen is daarbij topprioriteit. Het veilig behandelen van persoonsgegevens is niet alleen een wettelijke verplichting, maar kent ook een ethische verantwoordelijkheid. In dit artikel sta ik stil bij het nut en de noodzaak van een Data Protection Impact Assessment (verder DPIA).

Wij merken bij onze gemeentelijke klanten de nodige onduidelijkheid op dit vlak. Wat is een DPIA nu precies? Wanneer voer je een DPIA uit, en hoe doe je dat dan? Ik deel graag mijn eigen concrete ervaringen bij klanten van InnoviQ.

Wat is een DPIA?
Een DPIA is een instrument om vroegtijdig de privacyrisico’s van een ‘gegevensverwerking’ in kaart te brengen. Een gegevensverwerking is een breed begrip en kan gelezen worden als alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, zoals bijvoorbeeld het verzamelen, opslaan, opvragen of raadplegen van dergelijke gegevens. Een concreet voorbeeld is het opvragen en verwerken van persoonsgegevens die nodig zijn voor een aanvraag en toekenning van een bijstandsuitkering.

Met een DPIA wordt inzichtelijk gemaakt of de privacy van betrokkenen wordt geschaad, waar eventuele risico’s zich voordoen en wat de gevolgen daarvan zijn. Met de uitkomsten van een DPIA kunnen gericht acties worden ondernomen om de risico’s uit te sluiten of te verminderen.

Waarom een DPIA?
In de Algemene Verordening Gegevensbescherming (AVG) is opgenomen dat organisaties verplicht zijn een DPIA uit te voeren, zodra sprake is van een verwerking van persoonsgegevens met een hoog risico voor de privacy van individuen.

Naast dat het uitvoeren van een DPIA wettelijk verplicht is, draagt het ook bij aan risicopreventie, omdat het helpt om potentiële problemen in een vroeg stadium te identificeren en te voorkomen. Tenslotte draagt de zorgvuldige verwerking van persoonsgegevens bij aan het vertrouwen van burgers in de overheid.

Wie is verantwoordelijk voor een DPIA?
De verwerkingsverantwoordelijke is verantwoordelijk voor het (laten) uitvoeren en vastleggen van een DPIA. De verwerkingsverantwoordelijke bepaalt de doeleinden waarvoor en de middelen waarmee persoonsgegevens worden verwerkt. De verwerkingsverantwoordelijke is vaak het bedrijf of de organisatie die in eerste instantie de persoonsgegevens verzamelt.

Wanneer voer je een DPIA uit?
Een DPIA voer je in beginsel uit als een verwerking wordt gestart en dient met enige regelmaat geëvalueerd en geactualiseerd te worden. Een DPIA wordt in ieder geval opgesteld of geactualiseerd wanneer de verwerking substantieel wijzigt. Een voorbeeld hiervan is wanneer de verwerking wijzigt door de implementatie van nieuwe software of door een wijziging in het aanvraagproces van een product of dienst.

Tips!
1) Er zijn formats, vragenlijsten en checklists beschikbaar vavoor het uitvoeren van een DPIA om te bepalen of en wanneer een DPIA verplicht is. Het gebruik van deze formats geeft een vliegende start en verkort daarnaast de duur van de uitvoering.

2) Bepaal de juiste scope. Voor het succesvol uitvoeren van een DPIA moet de verwerking gedetailleerd beschreven en afgebakend worden. Er moet bepaald worden waar de verwerking start en waar deze eindigt. Bijvoorbeeld vanaf een aanvraag tot de vernietiging van dossier met inbegrip van de persoonsgegevens na 10 jaar.

3) Betrek de juiste personen binnen de organisatie. Voor het succesvol uitvoeren van een DPIA is het belangrijk om van tevoren de betrokkenen te bepalen. Een medewerker van de vakafdeling kan bijvoorbeeld de verwerking in detail omschrijven. Een systeembeheerder, informatiemanager en/of security officer heeft de benodigde kennis voor het inventariseren van de technische risico’s.

4) Zorg voor borging DPIA. Bepaal binnen de organisatie wie verantwoordelijk is voor de periodieke controle, wie verantwoordelijk is voor eventuele vervolgacties die voortvloeien uit de DPIA en wie er verantwoordelijk is voor het bepalen of een DPIA benodigd is voor eventuele nieuwe verwerkingen.

Wil je meer weten over DPIA’s of heb je hulp nodig bij het opstellen van een DPIA? Neem gerust contact met mij op.