Een goede DPIA: drie belangrijke tips

27 mei, 2020

Auteurs: Wendy Tran en Maurice Reedijk

Als je je met privacy bezighoudt, heb je er waarschijnlijk al over gehoord: de data protection impact assessment (DPIA). Een DPIA is een onderzoek dat duidelijk maakt of en waar privacyrisico’s ontstaan bij het gebruik van persoonsgegevens. Het onderzoek geeft aan welke risico’s zich mogelijk voor kunnen doen, en helpt vast te stellen welke maatregelen getroffen moeten worden om negatieve gevolgen voor betrokkenen te verkleinen of te voorkomen. 

De DPIA is hét instrument om privacyrisico’s in kaart te brengen. Heb je al eens meegewerkt aan een DPIA, of misschien zelfs al eentje uitgevoerd? In deze blog geven wij je een aantal tips en tricks voor een betere DPIA, zowel voor het proces als voor het resultaat.

 

Tip 1: Gebruik een goed DPIA-format

Allereerst is het van belang om de DPIA-methodiek te bepalen. Het internet staat vol met hulpmiddelen, van de DPIA-tool van de IBD of templates van toezichthouders als de ICO en de CNIL[1]. Maar let goed op, de verschillen tussen de DPIA-formats kunnen erg groot zijn. En het format is erg bepalend voor het eindresultaat.

Onze ervaring leert dat uitgebreidere formats, zoals die van het Rijksmodel of de ICO (mits goed ingevuld natuurlijk) beter zicht geven op de gehele datacyclus - van verzameling tot verwijdering. Hierdoor wordt het makkelijker om het volledige proces in kaart te brengen. En zonder een gedetailleerde beschrijving van het proces wordt het erg moeilijk om de andere (verplichte) onderdelen van een DPIA goed uit te voeren. Als we de onderdelen heel platslaan, krijg je het volgende plaatje:

dpia-proces.png

Houd er overigens rekening mee dat een DPIA nooit ‘af’ is; processen veranderen continu en een DPIA verandert daardoor ook mee.

 

Tip 2: Betrek de juiste mensen

Wij zien in de praktijk dat vaak maar een beperkt aantal personen wordt aangehaakt bij een DPIA. Denk dan meestal aan een (privacy)jurist, de informatiebeveiliger, de FG en de proceseigenaar. Maar om een goede DPIA uit te voeren is het belangrijk om te kijken naar de context: welke disciplines en invalshoeken zijn relevant voor mijn onderzoek?

Zo kan het logisch zijn om een socioloog te betrekken bij een gevoelig maatschappelijk onderwerp, zoals schuldhulpverlening. Hiermee kun je vanuit de sociale wetenschap onderbouwen waarom het erg belangrijk is om schulden vroegtijdig te signaleren, en het delen van gegevens tussen verschillende partijen bijdraagt aan het terugdringen van het maatschappelijk probleem. Maar als het gaat om de ontwikkeling van een gezondheidsapp, dan is het belangrijk om medische deskundigheid erbij te betrekken. En naast het betrekken van verschillende disciplines en experts, kan het ook erg nuttig zijn om betrokkenen (gebruikers, burgers, klanten) of andere stakeholders bij het DPIA-proces te betrekken. Zij kunnen je hele waardevolle informatie geven, bijvoorbeeld over potentiële risico’s of maatregelen die je kan treffen.

Door gebruik te maken van verschillende experts, disciplines en betrokkenen creëer je draagvlak. Het laat zien dat je moeite doet om verschillende belangen met elkaar af te wegen, waarbij je bijna een wetenschappelijke benadering hanteert om tot een verantwoord datagebruik te komen. Hiermee voorkom je privacydiscussies, die vrijwel altijd voortkomen uit onbegrip. In deze blog legt onze collega Sander Roobol haarfijn uit hoe je dit het beste kan aanpakken.

 

Tip 3: Denk in scenario’s en maak risico’s concreet

De AVG vraagt ons om een ‘objectieve’ beoordeling te doen van de (privacy)risico’s. Maar als je enig verstand hebt van risicomanagement, begrijp je ook dat het inschatten van risico’s vrijwel nooit geheel objectief is.

Het doel is echter om dit zo objectief én zo concreet mogelijk te maken. Onze ervaring leert dat het helpt om te denken in scenario’s. Welke situaties kunnen zich voordoen ten gevolge van een datalek, gebrekkige datakwaliteit of zodra data per ongeluk verwijderd is? Laat alle deelnemers maar hardop nadenken, zoals tijdens een brainstormsessie of -workshop. De geleverde input geeft inzicht in het bruto risico.

Vervolgens stel je de vraag: wat is de kans dat het geschetste scenario van de vorige vraag zich daadwerkelijk voordoet, met alle beheersmaatregelen in acht genomen? Dat geeft een beeld van het netto risico. Op die manier krijg je een beeld van de concrete(re) risico’s, waarvoor je duidelijke beheersmaatregelen kunt treffen. Of je komt erachter dat het qua risico eigenlijk allemaal wel meevalt, waardoor je met een vertrouwd gevoel van start of door kan gaan met het gebruik van data.

 

Afsluiting

De DPIA is de afgelopen tijd enorm in populariteit toegenomen, en binnen onze huidige datagedreven samenleving zal het belang ervan alleen nog maar groter worden. Daarom blijven wij ook bezig om onze DPIA-aanpak te perfectioneren. Heb je zelf aandacht- of verbeterpunten voor de DPIA die je wil delen? Of heb je vragen, zoals over uw DPIA-proces, voor het uit laten voeren van een DPIA of wil je een DPIA door ons laten beoordelen? Neem gerust contact met ons op. Wij helpen je graag.


[1] De ICO en CNIL zijn de Engelse en Franse “Autoriteit Persoonsgegevens”.

Terug naar het overzicht