Het uitvoeren van een gegevensbeschermingseffectbeoordeling (een hele mond vol) of Data Protection Impact Assessment (DPIA) is een opvallende verplichting die voorgeschreven wordt door de Algemene Verordening Gegevensbescherming (GDPR). Wanneer een organisatie een verwerking uitvoert met een verhoogd risico op de rechten en vrijheden van de betrokkenen, dan is zo’n DPIA aangeraden of, in sommige gevallen, zelfs verplicht. Het is de taak van de DPO, de functionaris voor de gegevensbescherming, om een DPIA te beoordelen (en hierover te adviseren). Zo’n beoordeling kan ook gebeuren door een toezichthouder, bijvoorbeeld in het kader van een inspectie. Maar welke tips of “schoonheden” moeten worden gehanteerd om een DPIA te beoordelen?

Tip 1: Baken de verwerking af, zodat de scope duidelijk is. De grenzen van een DPIA zijn niet noodzakelijk beperkt door grenzen van de verwerkingsverantwoordelijkheid. De scope van een DPIA wordt in de eerste plaats bepaald door verwerkingsactiviteiten die, samen uitgevoerd, een verhoogd risico met zich meebrengen voor de betrokkene. Zo kan je bijvoorbeeld de DPIA van een gezondheidsapp beperken tot de app zelf, al kan je het downloaden van de app uit de appstore (wat een vorm van profiling met zich mee kan brengen) meenemen in de analyse.

Tip 2: Beschrijf duidelijk de verwerkingsdoelen en de hieraan gekoppelde verwerkingsactiviteiten. De lezer van de DPIA (bijvoorbeeld een toezichthouder) moet op een overzichtelijke en duidelijke manier de verwerkingsactiviteiten begrijpen. Gebruik overzichtelijke schema’s en eenvoudige taal (lees: niet te technisch of juridisch) om de verwerkingen te duiden.

Tip 3: Een DPIA zonder de evaluatie van de noodzakelijkheid en evenredigheid … is geen DPIA. Je dient dus in jouw DPIA te bespreken waarom de verwerkingsactiviteit noodzakelijk is en toe te lichten dat de verwerkingsactiviteiten die je uitvoert evenredig is met het verwerkingsdoel.

Tip 4: Een DPIA is geen loutere conformiteitsanalyse. De kern van de DPIA is om toe te lichten wat risico’s zijn voor rechten en vrijheden van de betrokkene en welke maatregelen dat je inricht om deze risico’s te beperken. Veel DPIA’s missen creativiteit en vallen terug op, bijvoorbeeld, de vraag wat de kans is dat een recht van de betrokkene niet kan worden uitgevoerd of wat de kans is op een gegevenslek. In een DPIA ga je op zoek naar risico’s zoals bijvoorbeeld het (onterecht) uitsluiten van een individu op basis van een creditscore.

Tip 5: Door het risico te beschrijven, verdwijnt het niet. Een hoog risico scoort niet zomaar lager als je wat woorden op papier zet. Wees eerlijk bij de inschatting van het restrisico en overdrijf hun effect op het risico niet. Het uitvoeren van een Data Transfer Impact Assessment bijvoorbeeld zal op zich het risico van een data transfer niet kunnen verhelpen.

Tip 6: Voer de maatregelen die je beschrijft ook daadwerkelijk uit. Een DPIA is pas echt succesvol als je de beschreven maatregelen daadwerkelijk uitvoert.  Dit start met een toelichting van de risico’s en maatregelen aan iedereen die betrokken is bij de verwerking.

Tip 7: Identificeer de criteria voor een her-evaluatie van de DPIA. Er zijn grofweg 2 situaties die leiden tot een her-evaluatie: het monitoren van het risico enerzijds en de her-evaluatie bij een verandering van de (context van de) verwerkingsactiviteit. De eerste is onderdeel van de borgingscriteria, het tweede wordt vaak geïnitieerd door een zogenaamde ‘purpose shift’ waarbij nieuwe verwerkingsactiviteiten worden ingericht om het product of de dienst te verbeteren.

 

Wil je meer weten over DPIA’s en hoe ze uit te voeren of te beoordelen? Schrijf je dan in voor onze opleiding “GDPR impact assessments: DTIA & DPIA”. De opleiding DTIA’s & DPIA’s is bedoeld voor de DPO-er/privacy professional die regelmatig geconfronteerd wordt met de beoordeling of het opstellen van analyses van risicovolle verwerkingen met persoonsgegevens en/of de internationale doorgifte van persoonsgegevens.

Je kan deze opleiding ook in twee afzonderlijke dagen volgen. GDPR impact assessments: DTIA & GDPR impact assessments: DPIA.