CIP-podcasts - voor meer kennis over informatiebeveiliging en privacybescherming

Privacy, de fundamenten: DPIA

CIP - Centrum Informatiebeveiliging en Privacybescherming

Share episode

​Wat is een DPIA? Wat is een Pre-scan DPIA? Hoe voer je een goed gesprek over de resultaten van een DPIA? En zijn er onderwerpen waar je altijd een DPIA voor moet uitvoeren? In deze aflevering wordt hierop ingegaan door Sulaika Mahangi, Chief Privacy Officer bij het ministerie van Infrastructuur en Waterstaat.

Deze serie is mede mogelijk gemaakt door CIO Rijk.

Voice-over: Dit is een podcast van het CIP, het Centrum voor Informatiebeveiliging en Privacybescherming. 

Walter van Wijk: Dit is een podcast van het CIP, Centrum voor Informatiebeveiliging en Privacybescherming. Deze podcast is onderdeel van een serie met als titel ‘Privacy, de fundamenten’. In deze aflevering gaan we in op de Data Protection Impact Assessment, de DPIA of GEB, zoals die binnen sommige organisaties wordt genoemd. Onze gast is Sulaika Mahangi, Chief Privacy Officer bij het ministerie van IenW. Sulaika, wat is een DPIA of een GEB?

Sulaika Mahangi: Een DPIA of een GEB is een risicoanalyse. Aan het verwerken van persoonsgegevens zijn risico's verbonden en om die inzichtelijk te maken voer je een DPIA of een GEB uit. Eigenlijk begint het al eerder met de vraag: verwerk ik wel persoonsgegevens? Moet ik een DPIA of GEB uitvoeren? Daarvoor voer je eerst een pre-scan uit. Daarmee beantwoord je vragen op basis van de criteria van de Autoriteit Persoonsgegevens, die aangeven wanneer een DPIA nodig is. Er zitten altijd risico’s aan het verwerken van persoonsgegevens, maar als er sprake is van een verhoogd risico moet je een DPIA of GEB uitvoeren. Aan de hand van een prescan kijk je of het noodzakelijk is om zo’n traject te doorlopen. Ik gebruik het woord ‘traject’, omdat dit geen exercitie is die je in je eentje kunt uitvoeren.

Sulaika Mahangi: Je hebt daar bijvoorbeeld een projectleider voor nodig, omdat het gaat om een project. Je hebt informatie over de technische kant nodig, dus je hebt gesprekken nodig met bijvoorbeeld een architect. Het mooiste is als je al deze personen in één keer om de tafel kunt krijgen, zodat je samen zo'n prescan kan uitvoeren. Je kan kijken of het noodzakelijk is om die persoonsgegevens te verwerken om het doel te bereiken wat je voor ogen hebt. Als er uit de prescan komt dat er een volledige DPIA uitgevoerd moet worden, heb je al een deel van je informatie, omdat je al deze stakeholders gesproken hebt. Je kan dan verdergaan met het invullen van de DPIA. Hou er rekening mee dat je altijd met meerdere collega's te doen hebt en dit niet alleen kan invullen.

Walter van Wijk: Hoelang duurt het invullen van zo'n DPIA ongeveer? Kun je daar wat over zeggen?

Sulaika Mahangi: Het duurt niet een dag. Het invullen van zo'n DPIA is niet alleen de invuloefening van een model. Je hebt gesprekken en informatie nodig. Je zult aan fact finding moeten doen. De personen die je nodig hebt, hebben niet een-twee-drie ruimte in hun agenda. Plus, je moet het goed uitwerken. Reken zeker op een aantal weken. Hoeveel dat er precies zijn, hangt af van de complexiteit van de verwerking van de persoonsgegevens. Het hangt ook af van de grootte en inrichting van je organisatie. Trek er een aantal weken voor uit om een goed proces te doorlopen.

Walter van Wijk: Dan heb je het alleen nog maar over de uitvoering van de DPIA, nog niet over het voeren van de gesprekken over de resultaten van de DPIA?

Sulaika Mahangi: Nee, je moet ook tijd uittrekken voor het voeren van de gesprekken over de resultaten. Het is mogelijk dat uit de resultaten blijkt dat het echt nodig is om deze persoonsgegevens te verwerken, maar dat je niet de nodige maatregelen kan treffen om de juiste mate van veiligheid te creëren. Dan heb je een spanningsveld. Daarover moet je met je organisatie in gesprek gaan om te bepalen wat je als organisatie accepteert. Welke risk appetite hebben we als organisatie? We willen heel graag deze gegevens verwerken. We moeten het verwerken, maar we kunnen niet de veiligheid garanderen. Het kan een andere kant opslaan. Zorg ervoor dat je voor die gesprekken de nodige tijd inruimt, zeker als je je FG wilt betrekken.

Sulaika Mahangi: Doe dat zeker in het begin al bij de prescan zodat je FG er al vanaf weet. Je zult later het gesprek met je FG aan moeten gaan, maar ook met je bestuurders. Zorg ervoor dat je al deze spelers in kaart hebt en dat je gezien de agenda's en uitwerking ruim de tijd ervoor neemt.

Walter van Wijk: Wapper niet met je vinger dat het niet mag van de AVG. Werk eraan en praat er samen over hoe je het goed en verantwoord doet. Daar helpt een DPIA bij. Jij noemt de Functionaris Gegevensbescherming. Je hebt het over de Privacy Professionals, de Privacy Officers. Zij zijn betrokken en de Functionaris Gegevensbescherming is meer de toezichthoudende partij. Wat is jouw eigen rol als Chief Privacy Officer bij zo'n DPIA-proces?

Sulaika Mahangi: In een organisatie als een ministerie is een Chief Privacy Officer een coördinator op bepaalde onderwerpen. Zo ook bij een DPIA. Als coördinator monitor je of alle stakeholders om de tafel zitten bij de gesprekken. Of al die meningen en visies zijn meegenomen bij het opstellen van de DPIA. Of de genoemde grondslagen daadwerkelijk vereist zijn voor het verwerken van die persoonsgegevens. Dat komt aan bod in een DPIA. Dat gaat ook over het nut en de noodzaak van het verwerken van de persoonsgegevens. Dan denk je als Privacy Professional: dat heb ik toch al gedaan? Ik heb dat toch doorlopen. Word ik gecontroleerd op mijn werk? Een coördinator is er om met je mee te denken op dat vlak, om te kijken of je daar misschien toch nog een verdiepingsslag kan maken waar je zelf nog niet aan gedacht had vanuit die privacybril. Dat hangt weer van je organisatie af. Voor een coördinator binnen een ministerie gaat het om die coördinerende rol daarin.

Walter van Wijk: Je bepaalt de randvoorwaarden of controleert. Je kijkt naar het proces en of de juiste mensen erbij betrokken zijn. Je zei dat een prescan DPIA je kan helpen om te bepalen of je een DPIA moet doen. Een DPIA is een serieuze inspanning in tijd en moeite. Je kan een hoop tijd besparen als het niet nodig is. Zijn er onderwerpen waarvoor je altijd een DPIA moet doen?

Sulaika Mahangi: Onderwerpen die gaan over het verwerken van persoonsgegevens van gevoelige en kwetsbare groepen en de medewerkers van je organisatie. De AVG geldt niet alleen voor burgers, maar ook voor de medewerkers. Het kan zijn dat je een DPIA moet doen, omdat het iets betekent voor de rechtspositie van medewerkers. Als je het zelf nog een keer rustig wilt nalezen, kijk dan op de website van de Autoriteit Persoonsgegevens. Daar staan de criteria genoemd en kun je bepalen of je een DPIA op moet stellen of in gesprek moet gaan met je FG.

Walter van Wijk: Een hele praktische tip tot slot van deze korte video. Sulaika Mahangi, Chief Privacy Officer bij IenW, dankjewel om je licht te laten schijnen op DPIA, wat veel besproken en toegepast wordt. Én ook moet worden. Beluister ook de andere afleveringen waarin we aandacht besteden aan onderwerpen als: wat is de definitie van persoonsgegevens? Wat is een verwerkingsverantwoordelijke? Wat is een verwerkingsregister? Hoe ga je om met datalekken? Wat zijn de inzagerechten? Nog veel meer. Deze serie is geproduceerd door het CIP, Centrum Informatiebeveiliging en Privacybescherming en werd mede mogelijk gemaakt door CIO Rijk. Je luisterde naar een podcast van het CIP. Wij ontwikkelen en delen kennis op het gebied van informatieveiligheid. Meer erover kun je vinden op onze website cip-overheid.nl. Tot de volgende keer.