De DPIA in de AVG
We zijn 25 mei 2018 al ruime tijd voorbij. Gaandeweg begint er meer begrip te komen over wat de knappe koppen achter de Algemene Verordening Gegevensbescherming (AVG) van ons verwachten.
Gelukkig is er geen compleet nieuw universum ontstaan. Een significant deel van de regels uit de Wet bescherming persoonsgegevens (Wbp) leeft voort in de AVG en met de Uitvoeringswet AVG (Uavg) heeft ook onze wetgever geprobeerd extra handvatten voor de toepassing binnen onze samenleving te geven. Ook de Autoriteit Persoonsgegevens (AP) en het European Data Protection Board (EDPB) (voorheen Working Party art. 29) doen hun best om richting te geven.
Al bestaat er dus al veel, nieuwe elementen zijn er zeker. In artikel 35 AVG is vastgelegd hoe en wanneer een DPIA uitgevoerd moet worden. Daarnaast heeft de AP in samenwerking met de EDPB-richtsnoeren gepubliceerd voor het uitvoeren van een DPIA en beide toezichthouders hebben lijstjes gepubliceerd van type verwerkingen en processen waarvoor zij verwachten dat de uitvoerder altijd een DPIA uitvoert. In dit stuk gebruiken we alleen de Engelse term, omdat het begrip gegevensbeschermingseffectbeoordeling toch wat minder is ingeburgerd.
De eerste 10 leden van dit artikel leiden misschien de aandacht een beetje af van het elfde lid.
Daarin staat een lange-termijnactie “geprogrammeerd”: een toetsing of de verwerking(en) worden uitgevoerd overeenkomstig de DPIA. Dit is sowieso noodzakelijk als er wijzigingen zijn in processen of risico’s.
DPIA als onderdeel van de beheersingscyclus
Uit dit artikel blijkt dat een DPIA niet een statisch document is. Een DPIA, de verwerking die beschreven is in de DPIA maar ook de benoemde maatregelen, moeten op regelmatige basis worden gereviewed. Het is sowieso verstandig om een vaste termijn (houdbaar tot datum) vast te stellen. Proceswijzigingen doen zich vrijwel altijd voor.
Een globaal uitgangspunt van de gemiddelde kwaliteitscoördinator is: “Als een proces of procedure een jaar lang niet is gewijzigd, is er iets aan de hand”.
Veranderingen kunnen zich voordoen in het proces of in randvoorwaarden zoals wet- en regelgeving of marktontwikkelingen. Ook is het van belang om vast te stellen of de maatregelen die in de DPIA zijn benoemd in de dagelijkse praktijk wel “aantoonbaar”, effectief en efficiënt worden uitgevoerd.
Dit zou een vraag kunnen zijn van de Functionaris voor Gegevensbescherming (FG) op basis van zijn toezichthoudende rol. Hiervoor zou hij/zij een de DPIA-audit verzoeken.
Een PMP DPIA-audit
In de hiervoor genoemde beoordelingen is bij de DPIA-audit niet alleen het doel om het proces van de DPIA te beoordelen, maar ook om te beoordelen of de maatregelen die in de DPIA zijn genoemd op de juiste wijze zijn geïmplementeerd. Daarbij gaat het niet alleen om de technische maatregelen maar juist ook om de organisatorische en procedurele maatregelen. Om daar een goed beeld van te laten ontstaan is het belangrijk met de juiste mensen in gesprek te gaan en te bevragen hoe zij die maatregelen ervaren en wat hun beeld daarvan is.
De DPIA-audit zal niet een DPIA opnieuw uitvoeren. Een DPIA-audit heeft twee aandachtsgebieden, die gecombineerd kunnen worden maar ook zeker los van elkaar kunnen worden ingezet.
Het eerste onderdeel is een controle of wijzigingen in processen zoveel impact hebben (in audittermen materiële) dat de DPIA niet meer sluitend is op het proces.
Het tweede onderdeel is een risico- en maatregelenonderzoek. Zijn de risico’s zoals die staan opgeschreven in de DPIA veranderd, zijn er bijvoorbeeld nieuwe risico’s bijgekomen of zijn de benoemde risico’s toch anders? In dit tweede onderdeel past ook het controleren van de benoemde maatregelen. Zijn de maatregelen “aantoonbaar”, effectief en efficiënt. Een risico kan alleen maar worden verkleind door maatregelen die ook daadwerkelijk aanwezig zijn. Alleen door een controle hierop kan binnen een Data Protectie Management Systeem ook met zekerheid worden gezegd dat het risico tot acceptabel niveau is teruggebracht.
De relatief nieuwe verantwoordelijkheden voor proceseigenaren, betreffende de uitvoering en opvolging van DPIA’s, is soms best overweldigend. Het DPIA-audit rapport geeft voldoende handvatten om de proceseigenaar te informeren en te begeleiden in de stappen die noodzakelijk zijn om het project tot een goed einde te brengen. Het DPIA-rapport zal een statusoverzicht geven, met daarbij bevindingen en praktische adviezen over het oplossen van de bevindingen.
Een DPIA-audit rapport is goed bruikbaar voor de organisatie om aan te tonen dat zij het beheersen van gegevensbescherming serieus nemen. Het is zeker een onderdeel van aantoonbaar in control zijn.
Door: Team Audit