De data protection impact assessment (dpia) is een GDPR-thema dat steeds meer aandacht krijgt en waar bedrijven mee worstelen om dat goed ingeregeld te krijgen. Met 25 mei aanstaande begint de druk flink op de ketel te komen. In de praktijk blijkt dat organisaties, vanwege de tijdsdruk, gaan schrappen in hun projecten en dan snel dpia’s of een aantal daarvan laten vallen. Aangezien dat één van de kernelementen is van de GDPR is het de vraag of dit slim is
Doen we het wel of doen we het niet? Dat is de vraag. De data protection impact assessment (dpia), of ‘gegevensbeschermingseffectbeoordeling’ in het Nederlands, zorgt voor verhitte discussies bij organisaties. Met de deadline van 25 mei 2018 in zicht proberen veel organisaties nog de nodige meters te maken. Als dan gedurende de projecten, met het doel de organisatie gereed te maken voor de GDPR (of AVG in Nederland), het register van verwerkingen in beeld komt, ontstaat de discussie.
Was voorheen de slotsom ‘doe mij maar een dpia’, nu zien we de keuze ‘doe maar niet, tenzij verplicht’. Met name als steeds duidelijker wordt dat een goed uitgevoerde dpia geen uurtje werk is, maar snel meerdere dagen onderzoek vergt. Ondanks dat de organisatie met het schrappen van de assessments doorlooptijd wint, blijven andere risico’s bestaan en lijkt de waarde van een dpia onderschat.
Dpia kernelement
De dpia is een kernelement binnen de GDPR (artikel 35) en de essentiële bouwsteen voor het realiseren van Privacy by design en Privacy by default (het eerder verschenen artikel geschreven door Christiaan Hille). De dpia heeft immers als doel, voorafgaand aan het starten van de verwerking van persoonsgegevens of het doorvoeren van wijzigingen daarop, na te denken over de risico’s, de GDPR-principes en regels en de maatregelen die je kunt treffen om risico’s te mitigeren of te voldoen aan de regels. Daarbij kijkt de organisatie naar alle zeven principes die de GDPR heeft opgenomen in artikel 5: ‘Beginselen inzake verwerking van persoonsgegevens’ inclusief de verantwoordelijkheidsplicht (Accountability) uit lid 2.
De GDPR benadrukt het belang van de uitvoering van een dpia en stelt deze verplicht voor verwerkingen waar een hoog risico speelt voor de betrokkenen in de verwerking van de persoonsgegevens. Voor het vaststellen van de hoogte van het risico, heeft de Artikel 29 Werkgroep (waar de nationale toezichthouders overleg hebben) een handleiding geschreven met handvatten. Juristen zien de uitspraken en publicaties van deze werkgroep als zwaarwegend bij het uitleggen van de regelgeving. De werkgroep geeft aan dat soms, als gevolg van ‘wijziging in de risico’s’, ook voor reeds bestaande verwerkingen een dpia nodig is. Dat zijn vaak de eerste verwerkingen die uit het projectplan worden gehaald.
Overigens bestaat er voor de Rijksoverheid al de verplichting voor het uitvoeren van dpia’s. Deze verplichting heeft het ministerie van Binnenlandse zaken al in 2013 geïntroduceerd en bij de introductie van het nieuwe ‘Toetsmodel privacy impact assessment (pia) Rijksdienst’ vorig jaar september bevestigd. Deze verplichting staat ook in het ‘integraal afwegingskader beleid en regelgeving” (iak) als (verplicht) hulpmiddel bij het beoordelen van nieuwe technologie, informatiesystemen, programma’s, beleid en wetsvoorstellen op het voldoen aan vereisten uit de ook de GDPR.
Daarnaast bestaat de mogelijkheid voor de nationale toezichthouder om een lijst bij te houden die verwerkingen een dpia vergen en voor welke verwerkingen deze niet verplicht is. Onze Autoriteit Persoonsgegevens heeft vooralsnog niet zo’n lijst gepubliceerd.
Samenvattend loopt een organisatie nadrukkelijk risico’s bij het besluit tot aan 25 mei 2018 geen dpia’s uit te voeren omdat diverse regelgeving de uitvoering al vereist. Onverlet geldt dat de dpia voor een organisatie een belangrijk totaalbeeld geeft over de inhoud van de verwerking, de impact op betrokkenen en vooral de kwaliteit van de maatregelen rond de verwerkingen. Bij het ontbreken van dit inzicht komen risico’s niet in beeld.
Rol risicoprofiel
Mocht toch het besluit vallen dpia’s niet uit te voeren, dan is het in ieder geval een goed advies om dat op een afgewogen wijze te doen, waarbij nadrukkelijk het risicoprofiel een rol speelt. Immers, vanuit de regelgeving blijft het aanknopingspunt voor het verplichte karakter van een dpia een ‘hoog’ risico voor betrokkenen. Belangrijk is daarbij bewust te zijn dat risico’s rond een verwerking kunnen wijzigen en daarmee ook weer een reden kunnen zijn voor een dpia. Dit is ook voor de Artikel 29 Werkgroep de aanleiding geweest om in de handreiking aan te geven dat zij minimaal één keer in de drie jaar een her-assessment verwacht op bestaande verwerkingen.
Naast het gegeven dat data protection een plaats moet krijgen in het risicomanagement-proces van de organisatie, zijn meer operationele handvatten nodig in het change management proces als onderdeel van een isms (Information security management system). Op basis van de risico/impact-inschattingen in het change management proces kan het besluit vallen om een dpia uit te voeren en daarmee risico, impact en mitigerende maatregelen concreet te maken. Door dit te integreren in het isms kunnen maatregelen efficiënt worden ingezet en gemonitord. De uitdaging daarbij is voldoende deskundigheid voorhanden te hebben om de juiste afwegingen te maken. Dit betekent het opzetten van een goed proces, met de juiste handvatten waarin voldoende deskundige en alerte medewerkers in staat zijn de (initieel ingeschatte) impact te bepalen. En daar speelt de security markt steeds nadrukkelijker op in.
