Vijf vragen en antwoorden over de DPIA en het verschil met een boyband

Organisaties zijn voor het verwerken van persoonsgegevens met een hoog risico verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren. Dit assessment is bedoeld om de risico’s voor de betrokkenen bij het verwerken van persoonsgegevens vroegtijdig in beeld te brengen. De DPIA was bij de invoering van de AVG in 2018 de New Kid On The Block (NKOTB) in gegevensbeschermingsland. Maar waar we van de boyband uit de jaren 80 weinig meer horen, stijgt de DPIA step by step op de hitlijsten. Reden genoeg voor Alex Commandeur, partner privacy bij BMC, om vijf prangende vragen over de DPIA te beantwoorden.

1. Wat is het doel van een DPIA?

Een DPIA helpt organisaties om vooraf de risico’s van een bepaalde gegevensverwerking in te schatten. Op basis daarvan kunnen ze maatregelen nemen om die risico’s te beperken of tot een aanvaardbaar niveau te brengen. Ook helpt de DPIA organisaties met het duidelijk krijgen van het doel van een gegevensverwerking, welke gegevens daarvoor noodzakelijk zijn en op welke manier dit past binnen de kaders van de AVG of de Wpg.

2. Waarom neemt de aandacht voor de DPIA toe?

Een van de redenen hiervoor de is het toenemende gebruik van data. De ontwikkeling van AI zorgt er bijvoorbeeld voor dat organisaties actief op zoek gaan naar toepassingsmogelijkheden. Als gevolg van de toeslagenaffaire bij de Belastingdienst en de indirecte discriminatie bij DUO zijn steeds meer organisaties zich bewust van de risico’s bij het gebruik van algoritmes en data. Gevolg is dat een DPIA of IAMA (Impact Assessment voor Mensenrechten bij de inzet van Algoritmen) steeds vaker als logische instrumenten worden gezien om deze risico’s te identificeren.

De aandacht neemt ook toe, doordat er steeds meer DPIA’s zijn uitgevoerd. Er is dus steeds meer ervaring mee opgedaan. Sinds 2018 hebben brancheorganisaties zoals de VNG diverse handreikingen uitgebracht voor het uitvoeren van DPIA’s. Overheden delen ook onderling hun ervaringen en DPIA’s, zodat ze het wiel niet steeds opnieuw hoeven uit te vinden. Proceseigenaren en bestuurders zien hierdoor meer dan voorheen dat het uitvoeren van een DPIA niet alleen een verplichting is, maar ook problemen in de uitvoering kan voorkomen.

Wat ook meespeelt, is dat de toezichthouder – de Autoriteit Persoonsgegevens (AP) – de DPIA in het vizier heeft. De Nationale Politie had in 2022 de primeur: de organisatie kreeg een boete voor het niet tijdig uitvoeren van een DPIA voor de inzet van scanauto’s. Een ander voorbeeld: creditcardbedrijf ICS kreeg in 2023 een boete van € 150.000 van de AP. ICS had weliswaar een risicoanalyse uitgevoerd, maar die voldeed niet aan de eisen van een DPIA. In het Sectorbeeld Overheid (oktober 2024) besteedt de AP ook aandacht aan DPIA’s. Daarin concludeert de toezichthouder dat organisaties nog niet altijd een DPIA uitvoeren als dit verplicht is. En dat de kwaliteit van de uitgevoerde DPIA’s regelmatig te wensen overlaat.

3. Staat de DPIA al op nummer 1?

Hoewel er een stijgende lijn zit in de hoeveelheid uitgevoerde DPIA’s, staat deze analyse nog niet op 1. Dit blijkt ook uit het recente Sectorbeeld Overheid. In veel gevallen voeren organisaties een DPIA uit als ze starten met een nieuwe verwerking of als een bestaande verwerking anders wordt georganiseerd. Bijvoorbeeld omdat er wordt gekozen voor een cloudoplossing of voor een nieuwe leverancier of als gevolg van veranderende of nieuwe wetgeving. Tegelijkertijd zijn er voor bestaande verwerkingen vaak nog geen DPIA’s uitgevoerd. En juist hier kleven vaak risico’s aan, bijvoorbeeld omdat er met verouderde werkprocessen of applicaties wordt gewerkt. Er is dus nog veel werk aan de winkel.

4. Wat zijn vaak voorkomende risico’s bij het uitvoeren van een DPIA?

Een DPIA is een soort milieueffectrapportage (MER). Waar de MER de risico’s voor het milieu in beeld brengt, doet de DPIA dat voor de ‘rechten en vrijheden van betrokkenen’. Soms worden in de DPIA risico’s genoemd als ‘het risico op een boete van de AP’ of ‘imagoschade voor de organisatie’. Maar dit zijn natuurlijk niet de risico’s waarvoor de DPIA in het leven is geroepen. Hoewel het constateren van deze risico’s op zichzelf geen probleem is, gaat het uiteindelijk om de risico’s voor de betrokkenen. Het is dus van belang om die relatie in de risicoanalyse te leggen, omdat de maatregel daar ook op moet zijn afgestemd.

Een ander aandachtspunt is het gebruik van e-mail om gegevens te delen. Is dit een structureel onderdeel van een werkproces, dan is het beheer van mailboxen vaak een probleem. Mails worden in mappen geplaatst en jarenlang bewaard. Bovendien zitten mailtjes met een bijlage met vertrouwelijke gegevens vaak in veel verschillende mailboxen. Dat het mis kan gaan met e-mail, bleek in 2019 bij Transavia: een hacker wist toen toegang te krijgen tot een mailbox en wist daarbij gegevens te downloaden van 81.000 klanten. Kortom, het beheer van mailboxen vraagt om aandacht in de uitvoering van een DPIA.  

Bewaartermijnen zijn een ander veel voorkomend vraagstuk. Op grond van de AVG moeten persoonsgegevens worden verwijderd op het moment dat de gegevens niet meer noodzakelijk zijn voor de uitvoering van de taak. In veel gevallen hebben organisaties hiervoor geen termijnen bepaald. En als deze termijnen er wel zijn, wordt vaak vergeten ze in te regelen. Zie bijvoorbeeld de gemeente Amersfoort, waar vergeten was om oude afspraken met inwoners te verwijderen uit het systeem. Met een datalek van onder andere het BSN tot gevolg. Het inregelen is bovendien niet makkelijk. De grootste kans op naleving biedt het toepassen van automatische verwijderingstermijnen in zaaksystemen (privacy by design). Handmatige verwijderingstermijnen zonder verdere borging in een proces leiden er vaak toe dat gegevens langer bewaard worden dan noodzakelijk, met alle risico’s van dien voor de betrokkenen.

Het laatste vaak voorkomende risico draait om beveiliging van gegevens. Belangrijk is dat de beveiliging aantoonbaar op orde is. Puur en alleen verwijzen naar de inschakelde professionele leverancier is niet voldoende. Daarnaast worden certificeringen niet atlijd opgevraagd of zien deze slechts toe op een deel van de totale keten.

5. Waar moeten we aan denken bij het uitvoeren van een DPIA? Zijn er tips en aanbevelingen?

Organisatie die een DPIA willen uitvoeren, doen er goed aan om vooraf na te denken over wie de opdrachtgever van de DPIA is en welke expertise nodig is bij de uitvoering ervan. Naast de privacy-officer gaat het dan om medewerkers met kennis van zaken over het proces waarop de DPIA toeziet. Ook de applicatiebeheerder en de verwerker (indien aanwezig) zijn belangrijke gesprekspartners bij de uitvoering van de DPIA, waarbij vooral de verwerker nog wel eens over het hoofd wordt gezien.

Een andere tip gaat over het inventariseren van de risico’s. Neem op dat vlak gewoon eens kennis van waar het mis is gegaan bij andere organisaties. Dagelijks zijn er berichten in de media over incidenten op het gebied van persoonsgegevens. Ook het Jaarverslag Datalekken van de AP, de Sectorbeelden van de AP en het security-beeld van het Nationaal Cyber Security Centrum (NCSC) kunnen relevant zijn voor het inventariseren en beoordelen van risico’s.

Verder doen organisaties er goed aan om vooraf de scope van de DPIA te bepalen. Soms is een proces overzichtelijk, met maar een beperkte hoeveelheid applicaties en datastromen. Maar het komt ook geregeld voor dat er meerdere afdelingen én externe partijen zijn betrokken en dat er meerdere koppelingen zijn met andere applicaties. Dan is van belang dat vooraf wordt vastgesteld met welke gegevensverwerking de DPIA start en waar deze eindigt. Daarnaast is het belangrijk om de datastromen goed in beeld te brengen, net zoals de gebruikte activa (zoals e-mail, netwerkschijven, applicaties of papieren dossiers). Het vooraf in beeld brengen van de scope helpt om het overzicht te bewaren en de uitvoering van de DPIA beheersbaar te houden.

Tot slot is het zaak om structuur aan te brengen in de uitvoering van de DPIA. Dit kan enerzijds door te werken met een vast werkproces en formats. Dit zorgt niet alleen voor een herkenbaar proces, maar ook dat eerder opgedane ervaring in de volgende DPIA wordt toegepast. Anderzijds is het belangrijk om te inventariseren voor welke processen DPIA’s verplicht zijn. Op basis daarvan kan worden bepaald voor welke processen al DPIA’s zijn uitgevoerd en waarvoor dit nog moet gebeuren. Vervolgens kan een planning worden opgesteld voor de uitvoering. Hiermee kunnen organisaties (deels) verrassingen voorkomen. De planning moet uiteraard wel worden afgestemd met de opdrachtgever/proceseigenaar. De proceseigenaar is niet alleen verantwoordelijk voor de naleving van de AVG, maar heeft ook inhoudelijke kennis van het proces. Eventuele ontwikkelingen in dat proces (nieuwe wetgeving, nieuwe applicatie, verandering werkproces) zijn van invloed op de (prioritering in de) planning.

Meer informatie?

De DPIA is dus geen eendagsvlieg. Wilt u meer informatie over hoe u binnen uw organisatie omgaat met de DPIA? BMC beschikt over ervaren privacy-adviseurs die u kunnen ondersteunen bij alles wat er bij DPIA’s komt kijken. Denk aan:

• inventarisatie van DPIA-plichtige werkprocessen;
• uitvoering van een of meerdere DPIA’s;
• begeleiding van privacy-adviseurs bij de uitvoering ervan;
• implementatie van werkprocessen voor het uitvoeren van DPIA’s.

Ook organiseren wij incompany trainingen over het uitvoeren van DPIA’s. Wilt u weten of een DPIA-verplicht is, dan kunt u hiervoor gebruikmaken van ons handige hulpmiddel.

Neem voor meer informatie of een vrijblijvend gesprek contact op met Alex Commandeur, partner privacy, of met managing consultant Julius Duijts.