Carmen Graauwmans / 12 maart 2018

DPIA: Data protection impact assessment [blog 4/10]

Dankzij het overzicht verwerkingen weet je welke afdeling in je bedrijf welke persoonsgegevens verwerkt. Met een data protection impact assessment (DPIA) onderzoek je wat de risico’s van een verwerking zijn.

Bijna ieder bedrijf verwerkt wel op een manier persoonsgegevens, zoals e-mailadressen voor de nieuwsbrief of bankgegevens van medewerkers om hun salaris te betalen. Dit is na 25 mei, als de GDPR-wet intreedt, niet anders. De manier waarop je ze verwerkt wel.

Verantwoordelijkheid

Neem bijvoorbeeld de verwerking van e-mailadressen voor de nieuwsbrief. Iemand geeft zijn e-mailadres om de nieuwsbrief te ontvangen. Het e-mailadres wordt opgeslagen door een of meerdere (externe) systemen, zoals e-mailmarketingsoftware. Daardoor staat het e-mailadres ‘geparkeerd’ bij een derde partij. Als verantwoordelijke van de gegevens ben je aansprakelijk voor de privacy en bescherming van de gegevens – ook als ze bij een derde partij liggen. In een verwerkersovereenkomst kom je met derde partijen overeen hoe gedeelde persoonsgegevens worden verwerkt.

In controle over de risico’s

Aan de verwerking van persoonsgegevens kleven risico’s. Een DPIA brengt in kaart welke risico’s een verwerking met zich meebrengt. Met de uitkomsten van het onderzoek ben je in controle over de risico’s en kun je maatregelen nemen om de risico’s te beperken. In de Wet bescherming persoonsgegevens (Wbp) bestaat deze beoordeling al onder de naam privacy impact assessment (PIA). Een belangrijk verschil: Onder de GDPR-wet is de beoordeling niet vrijwillig, maar verplicht bij verwerkingen met een hoog privacyrisico.

Verwerkingen met een hoog privacyrisico

Maar privacy is privacy, zou je denken; wanneer is er dan sprake van een verhoogd privacyrisico? De GDPR-wet vraagt aan bedrijven om dit zelf vast te stellen. Gebruik onderstaande richtlijnen om te bepalen of jouw verwerkingen vallen onder het verhoogd privacyrisico.

  • Wanneer je op grote schaal bijzondere gegevens verwerkt, zoals medische, strafrechtelijke of financiële gegevens of gegevens waaruit etniciteit of politieke voorkeur is te herleiden.
  • Wanneer personen worden geobserveerd in de publieke ruimte, zoals bewakingscamera’s in winkelstraten.
  • Wanneer op grote schaal geautomatiseerd gegevens worden verwerkt.
  • Wanneer gegevens worden gedeeld met landen buiten de EU.
  • Wanneer gegevens worden gekoppeld uit verschillende bronnen.

De meeste bedrijven verzamelen een of meerdere van bovenstaande persoonsgegevens. Dit betekent dat je jouw processen moet onderzoeken met een DPIA, maar wat betekent dit voor de praktijk?

Een DPIA in de praktijk

Met een DPIA onderzoek je de gehele keten van een verwerking – van het verzamelen tot het verwijderen van persoonsgegevens én de externe risico’s die een verwerking kunnen beïnvloeden (zoals de eerder genoemde e-mailmarketingsoftware). Bij een DPIA zijn er vooraf gedefinieerde risico’s én risico’s die je zelf in kaart moet brengen. Onder de eerste categorie vallen technische risico’s, zoals toegangscontrole en de risico’s om gehackt te worden. Onder de laatste categorie vallen fysieke risico’s, zoals water- en inbraakschade.

Wie voert een DPIA uit?

Je moet je voorstellen dat een DPIA tot in detail ingaat op een verwerking. Een DPIA doe je niet vanachter je bureau, maar neemt enkele weken tot maanden in beslag. De uitvoering ligt meestal in handen van een extern bureau, zoals een consultant of it-beheerder. De DPIA wordt uitgevoerd samen met de persoon die verantwoordelijk is voor de informatiebeveiliging van je bedrijf. Als die persoon er niet is (tip: maak hier iemand verantwoordelijk voor) dan zal de uitvoerder de verantwoordelijken per afdeling betrekken bij het onderzoek.

Tijd en geld besparen door DPIA strategisch te benaderen

De DPIA is een stap in de goede richting om te voldoen aan de GDPR-wet. Zie de stap wel als een onderdeel van een proces; je moet de stap zetten om de volgende te kunnen doen. Met de uitkomsten uit het DPIA-onderzoek weet je welke verwerkingen je bedrijf doet en welke handelingen je moet verrichten om te voldoen aan de wet. Om in de toekomst geld en tijd te besparen, raden we aan om de DPIA op te nemen in het strategisch overleg van je bedrijf. Zo betrek je privacy in het ontwikkelen van je diensten en bij de aanschaf van tooling en hoef je niet achteraf tijd en geld te spenderen om je processen aan te passen aan privacywetgeving. Voorkomen is dus, ook bij de GDPR-wet, beter dan genezen.

We gaan volgende week dieper in op privacy als integraal onderdeel van je bedrijfsvoering met het blog ‘Privacy by design’, dat op 19 maart verschijnt.

Wil je meer weten over DPIA?

Xcellent helpt klanten en niet-klanten om zich gereed te maken voor de veranderende wet. Neem contact op met onze informatiebeveiligingspecialisten. We helpen je graag.

Carmen Graauwmans
Wil je meer weten over DPIA: Data protection impact assessment, stuur mij een bericht en ik neem contact met je op.

Contact

Contact

Meld je gratis aan voor Outsource IT 2019