Leestijd: 3 minuten

Als je persoonsgegevens wilt gaan verwerken met een hoog privacyrisico, dan moet je een Data Protection Impact Assessment (DPIA) uitvoeren. Met een DPIA leg je de consequenties en risico’s van de verwerking voor de privacy van de betrokkenen vast. Zo kun je bepalen of je maatregelen moet treffen om de privacy van de betrokkenen (extra) te beschermen. Maar wees waakzaam voor valkuilen. Voer een DPIA bijvoorbeeld niet te vroeg uit, want dan is de inrichting van de processen nog niet voldoende uitgewerkt en loop je het risico dat de DPIA te weinig houvast biedt. In dit blog vind je vijf praktische tips voor een succesvolle DPIA.

Tip 1. Baken de scope zorgvuldig af en bewaak deze

Voorkom een gebrek aan overzicht. Geef als verwerkingsverantwoordelijke een duidelijke opdracht mee voor het uitvoeren van een DPIA. Geef aan op welk deel van de bedrijfsprocessen de DPIA betrekking heeft. Is de scope niet helder afgebakend of wordt de scope niet consequent behandeld? Dan kunnen er gaten ontstaan. De DPIA gaat dan niet in op alle relevante processen en is dus niet volledig. Zorg voor een zorgvuldige afbakening van de scope en controleer of degenen die de DPIA uitvoeren, zich hieraan houden.

Tip 2. Kies het juiste moment

Wanneer ga je de DPIA uitvoeren? Zoek de juiste balans. Ben je te vroeg? Dan is de verwerking nog onvoldoende uitgewerkt, met als gevolg dat de DPIA te algemeen wordt en te weinig houvast biedt. Daardoor kun je niet goed bepalen welke maatregelen je moet treffen om de risico’s te beperken. Maar ben je te laat? Dan zijn de relevante processen waarschijnlijk al ingericht en moet je achteraf nog aanpassingen doorvoeren. Start bij voorkeur aan het begin van de ontwerpfase, als je nog bezig bent met het inrichten van de processen, maar het concrete doel al wel bekend is: wat wil je bereiken met de persoonsgegevens en hoe wil je dat gaan doen?

Soms zal het nodig zijn om een DPIA op te splitsen in twee fasen:

  • Je start met een voorlopige, wat algemenere DPIA. Deze is nog niet compleet, want je kent nog niet alle details. Deze voorlopige DPIA geeft wel al richting in de maatregelen die je moet implementeren. Door vroeg te beginnen, is het bovendien eenvoudiger om aan de wettelijk vereiste principes van privacy by design en privacy by default te voldoen.
  • Verderop in het proces breid je de DPIA uit door in te gaan op de details die vanaf dat moment bekend zijn.

Tip 3. Wees niet te kort door de bocht

Zorg voor voldoende inhoud, maar schiet niet door in te veel details. Een DPIA moet uiteindelijk leiden tot concrete acties vanuit de business, dus het document moet hanteerbaar zijn. De wet geeft een aantal minimale vereisten waaraan een DPIA moet voldoen. Een DPIA moet anderzijds ook begrijpelijk en hanteerbaar zijn voor de mensen die de maatregelen moeten implementeren; dat zijn doorgaans geen privacy-experts.

Tip 4. Maak de business verantwoordelijk

Leg de verantwoordelijkheid voor het uitvoeren van een DPIA bij de business, daar waar de persoonsgegevens daadwerkelijk worden verwerkt. De business moet de verantwoordelijkheid voor privacy-compliance immers uiteindelijk zelf nemen en ook voelen. Bovendien is de business zelf het beste in staat te bepalen hoe de geconstateerde risico’s beperkt kunnen worden zonder dat de bedrijfsvoering te veel wordt verstoord. Iedere maatregel die wordt genomen om de privacy te beschermen, maakt de bedrijfsvoering complexer. Laat de business dus zelf de optimale balans bepalen tussen het beperken van privacyrisico’s enerzijds en het kunnen doen van het werk anderzijds.

Ook nu gaat het om het vinden van de juiste balans:

  • Enerzijds dient de verantwoordelijkheid te worden belegd op een voldoende hoog niveau binnen de organisatie, waar men zich voldoende bewust is van het belang van het beschermen van de privacy van de betrokkenen en bovendien bevoegd is om de verwerking in te richten.
  • Anderzijds dient de verantwoordelijkheid niet op een dusdanig hoog niveau te worden belegd waar men geen direct contact heeft met de werkvloer.

Tip 5. Beoordeel de DPIA periodiek opnieuw

Een DPIA is geen statisch gegeven of eenmalige activiteit, maar verdient regelmatig aandacht. Het is een continu proces. De Autoriteit Persoonsgegevens geeft als vuistregel dat je, afhankelijk van de gevonden privacyrisico’s, een DPIA eens in de drie jaar opnieuw dient te beoordelen.

Meer weten?

Start je binnenkort een BI-traject en wil je weten of je een DPIA dient uit te voeren? Download onze checklist ‘Wanneer is een DPIA verplicht in een BI-omgeving?’