ICT Projecten deel 3: Een DPIA: wanneer is het verplicht en hoe pak je dat aan?

Een DPIA is wettelijk verplicht voor alle verwerkingen van persoonsgegevens die waarschijnlijk een hoog risico met zich meebrengen. Doorgaans gebeurt dat vooraf, hetgeen in beginsel ook moet. Voor een aantal verwerkingen is vastgesteld dat het uitvoeren van een DPIA altijd verplicht is. Hierbij kan worden gedacht aan profilering, het gebruik van monitoring, cameratoezicht, zwarte lijsten, het (op grote schaal) verwerken van bijzondere persoonsgegevens of gevoelige gegevens, het delen van deze gegevens in samenwerkingsverbanden, het samenvoegen van datasets of het gebruik van nieuwe technologische of organisatorische oplossingen.

De verplichting tot het (laten) uitvoeren van een DPIA ligt bij de verwerkingsverantwoordelijke. Wie is nu de ‘verwerkingsverantwoordelijke’? De ‘verwerkingsverantwoordelijke’ bepaalt de doeleinden waarvoor en de middelen waarmee persoonsgegevens worden verwerkt. Als uw onderneming/organisatie dus beslist waarom en hoe persoonsgegevens moeten worden verwerkt, is zij de verwerkingsverantwoordelijke. Indien er een verwerker in het spel is, is deze verplicht conform afspraken uit de verwerkersovereenkomst de verwerkingsverantwoordelijke bij de DPIA te ondersteunen. 

Voor het uitvoeren van een DPIA dient een organisatie zelf een model en/of methode te kiezen of te creëren. Er zijn verschillende modellen in omloop. Modellen die bijvoorbeeld (ter inspiratie) zouden kunnen worden gebruikt:

• NOREA (zeer uitgebreid en daarmee bijv. geschikt voor zeer risicovolle verwerkingen);
• CNIL (afkomstig van de Franse privacytoezichthouder en beschikbaar gesteld samen met tooling om het DPIA-proces digitaal te kunnen doorlopen en diverse uitleg);
• Criteria samengesteld door de Artikel 29-Werkgroep (met name geschikt ter inspiratie voor het creëren van een eigen DPIA-model);
• ICO (afkomstig van de Engelse privacytoezichthouder, een kort en bondig model dat kan worden gebruikt voor ‘light’ DPIA’s).

Veel organisaties kiezen ervoor om niet alleen voor verplichte verwerkingen een DPIA uit te voeren, maar ook voor verwerkingen waarvan nog niet vaststaat of sprake is van een (hoog) privacy risico of waarbij de organisatie een groot belang heeft. Om die reden worden binnen organisaties vaak twee modellen gebruikt: één model voor de verwerkingen waarvoor een DPIA verplicht is (zoals het migreren van de gehele digitale omgeving naar de Cloud) en één light model voor de minder risicovolle verwerkingen of voor verwerkingen waarvan de risico’s nog niet goed zijn te overzien (zoals voor het in gebruik nemen van een nieuwe evenemententool).

Voor het schrijven van een DPIA zijn in ieder geval personen nodig met kennis over:

1. Het project/proces/systeem waarop de DPIA ziet;
2. De organisatie van de verwerkingsverantwoordelijke;
3. De privacywet- en regelgeving;
4. De techniek en mogelijke technische en organisatorische beveiligingsmaatregelen; en
5. De werkwijze/het product van de verwerker, wanneer de verwerking door een verwerker wordt uitgevoerd.

Veelal wordt een projectteam samengesteld om een DPIA uit te voeren, waarbij iedere expertise om input wordt gevraagd. De Clercq wordt vaak gevraagd onderdeel uit te maken van dit projectteam.

Qua doorlooptijd, duurt een volledige DPIA gemiddeld drie maanden. Dit komt, doordat vanuit verschillende hoeken expertise benodigd is en vaak meerdere afstem-, review- en adviesrondes nodig zijn voordat een DPIA definitief is. Light DPIA’s kosten gemiddeld twee weken, omdat hier minder diep op alle risico’s en eisen wordt ingezoomd.

Als een DPIA ziet op een in te kopen product, is het raadzaam om reeds in de uitvraag informatie over informatiebeveiliging en privacy op te vragen. Zodra dit binnen is, zou een light DPIA kunnen worden uitgevoerd. Op die manier kan bij de keuze voor een product namelijk al rekening worden gehouden met informatiebeveiliging en privacy. Als de keuze voor een product eenmaal vaststaat, kan een volledige DPIA worden uitgevoerd. Op die manier werkt de privacy- en informatiebeveiligingstoets zo min mogelijk vertragend, maar kan wel aan wettelijke eisen worden voldaan.

Een vergelijkbare strategie is raadzaam voor nieuwe ideeën of plannen binnen een organisatie. Als deze in hoofdlijnen bekend zijn, kan al een light toets worden uitgevoerd om te verifiëren of aan alle relevante elementen is gedacht. Daarbij kan op die manier al de hoogte van het risico in kaart worden gebracht. Als vervolgens de plannen concreet zijn, kan de volledige DPIA worden uitgevoerd.

Als binnen de organisatie van de verwerkingsverantwoordelijken een Functionaris voor gegevensbescherming (FG) is aangesteld, is het verplicht om deze FG om advies te vragen over de DPIA. De FG is vervolgens vrij om te bepalen of hij/zij wel/geen advies wil geven en in welke vorm. Gegeven FG-advies moet aan de DPIA worden toegevoegd. Indien het advies van de FG niet wordt opgevolgd, dient gemotiveerd te worden vastgelegd waarom niet.

Als uit de DPIA grote privacyrisico’s naar voren komen die niet kunnen worden verminderd, is een voorafgaande raadpleging van de Autoriteit Persoonsgegevens (AP, de Nederlandse privacytoezichthouder) vereist. De AP verschaft vervolgens ook advies, en kan al haar bevoegdheden (denk aan het instellen van onderzoeken en nemen van corrigerende maatregelen) uitoefenen.

In voorkomend geval, moet ook de mening van betrokkenen of hun vertegenwoordigers worden gevraagd (bijv. middels een enquête). Zo kan bijvoorbeeld de mening van medewerkers worden gevraagd wanneer de DPIA ziet op een medewerkersonderzoek, of de mening van een consumentenorganisatie wanneer de DPIA ziet op het opbouwen van klantprofielen. De verkregen meningen moeten worden vastgelegd in de DPIA. Als de verwerkingsverantwoordelijke besluit om niet naar de mening van betrokkenen te vragen en/of de uitkomst daarvan niet op te volgen, moet dit eveneens gemotiveerd worden vastgelegd.

Om het DPIA-proces te borgen is het belangrijk dat binnen de organisatie van de verwerkingsverantwoordelijke wordt vastgelegd:

• Waar risicovolle verwerkingen binnen de organisatie dienen te worden gemeld;
• Wanneer het uitvoeren van een DPIA verplicht is;
• Welke medewerkers bij het uitvoeren van een DPIA worden betrokken, wie verantwoordelijk is en hoe de route naar de FG werkt;
• Welk DPIA-model moet worden gebruikt, en waar dit te vinden is;
• Waar de DPIA moet worden opgeslagen en geregistreerd; en
• Hoe wordt geborgd dat de DPIA periodiek wordt geüpdatet.

• Zorg dat voor alle verwerkingen waarvoor een DPIA verplicht is, een DPIA wordt gedaan.
• Kies of creëer een DPIA-model dat aansluit bij de organisatie, en gebruik bij voorkeur twee DPIA-modellen (één uitgebreide versie voor verplichte zaken en één light versie voor overige zaken waarvoor een voorafgaand privacy- en informatiebeveiligingsonderzoek gewenst is).
• Zorg dat in de DPIA of in een separaat assessment wordt getoetst of passende technische en organisatorische maatregelen zijn genomen en bekijk of het mogelijk is om met (aanvullende) beveiligingsmaatregelen de privacy risico’s te verminderen.
• Stel voor iedere DPIA een team samen van personen met de benodigde expertise, betrek hierbij (indien relevant) de verwerker en vraag (indien relevant) om advies van de FG, de AP en/of de mening van de betrokkenen.
• Stel een DPIA-beleid op waarin wordt gespecificeerd hoe, door wie en op welke manier binnen de organisatie wordt omgegaan met de DPIA-verplichting en maak duidelijke afspraken over DPIA’s met verwerkers.

Heeft u vragen over het succesvol uitvoeren van ICT-projecten, neem dan contact op met Natascha van Duuren, Partner & Advocaat IT, Privacy & Cybersecurity.

De inhoud van deze blog is onderdeel van ‘ICT Projecten: een praktische handreiking’, een bundeling van artikelen over het succesvol uitvoeren van een ICT-project. Klik hier om de praktische handreiking te downloaden.

Wil je elke maand een overzicht van updates en blogs in je mailbox? Klik dan hier om je in te schrijven voor de nieuwsbrief!