Wie wil weten of met alle privacy-aspecten van een applicatie, systeem of proces rekening is gehouden, kan een DPIA uitvoeren. Bij verwerkingen met hogere risico’s, zoals bij gevoelige persoonsgegevens of het monitoren van personen, is het zelfs verplicht om de risico’s op deze manier in kaart te brengen. De verwerkingsverantwoordelijke is hiervoor als geheel verantwoordelijk. Maar veel organisaties lopen bij de uitvoering tegen praktische vragen aan: welke functionaris voert zo’n DPIA nu eigenlijk uit? Is het handig om de taken te verdelen, of is de uitvoering een taak die al wettelijk aan een functionaris zijn toegewezen? In dit artikel leggen we uit op wiens bordje deze eervolle klus terecht kan komen, en waarom.
Is kennis van het privacyrecht een vereiste?
Een DPIA is eigenlijk een uitgebreide vragenlijst, waarin alle vereisten die de Algemene verordening gegevensbescherming (AVG) zijn opgenomen. Door alle vragen te beantwoorden (of te constateren dat het antwoord nog niet bekend is), kan een oordeel worden geveld of met de verwerking kan worden gestart. Vanwege de wettelijke eisen die de AVG stelt, is het woordgebruik in de meeste standaard vragenlijsten ook enigszins technisch. De uitvoerder moet dus zeker bekend zijn met de betekenis van begrippen als ‘verwerking’, ‘persoonsgegevens’ en ‘wettelijke grondslag’.
Bovendien is de bedoeling van een DPIA om de risico’s in kaart te brengen. De uitvoerder moet dus in staat zijn om in te schatten welke risico’s specifiek kunnen spelen, bij het beoogde proces of systeem. Bekend zijn met privacy-vraagstukken is ook om die reden onmisbaar om een goede risicoanalyse te maken.
Is de DPIA voorbehouden aan privacyfunctionarissen?
Een DPIA hoeft echter niet door een privacy officer of zelfs door de functionaris gegevensbescherming (FG) te worden uitgevoerd. Allereerst is basiskennis over privacy, zoals de bovengenoemde begrippen, voor de meeste medewerkers nodig om te hebben. Zeker voor proceseigenaren of leidinggevenden, die verantwoordelijk zijn voor de implementatie van een systeem of proces, is het noodzakelijk om enigszins bekend te zijn met de eisen van de AVG. Je hoeft geen opleiding privacyrecht gehad te hebben om een goede DPIA uit te voeren.
Daarnaast is het specifiek voor de FG niet toegestaan om zich al teveel met het uitvoeren van de DPIA te bemoeien. De FG heeft de wettelijke taak om de DPIA te ‘controleren’. Wanneer deze de vragenlijst geheel zelf invult valt er niet veel meer te controleren. Dit zou ten koste gaan van de toezichthoudende taken die de FG heeft: de bekende slager die het eigen vlees keurt.
Kennis van de verwerking is essentieel
Om de risico’s van een voorgenomen verwerking grondig in kaart te brengen, is het wel noodzakelijk om alle details van het systeem of proces goed te kennen. Om die reden wordt de DPIA vaak in werkprocessen toebedeeld aan een proceseigenaar of leidinggevende die verantwoordelijk is voor de implementatie. De praktische uitwerking van het plan kan zo langs de meetlat van de AVG worden gelegd, en eventuele problemen kunnen direct in de implementatie worden aangekaart. Zoals boven beschreven is een goede training bij het uitvoeren van DPIA’s dan natuurlijk nodig.
Een andere mogelijkheid is om een vragenlijst over de praktsche details van het systeem of proces los te halen van de daadwerkelijke DPIA. Een medewerker of leidinggevende met kennis van de details kan deze vragenlijst invullen, waarna een expert op het gebied van DPIA’s (bijvoorbeeld een interne privacy officer of een externe adviseur) de uitwerking van de risico’s voor zijn rekening neemt. Dit is vaak wat tijdrovender voor het gehele proces, omdat niet alle details voor de DPIA al direct in de vragenlijst worden aangeleverd. Dan moet de uitvoerder voor meer informatie terug naar de betrokken afdeling.
Wie de schoen past, trekke hem aan
Welke werkwijze het beste is, verschilt per organisatie. Worden er veel DPIA’s uitgevoerd en ben je bereid om te investeren in gedegen training? Dan loont het de moeite om per afdeling een verantwoordelijke uitvoerder aan te wijzen. Met behulp van de feedback van de FG wordt de kwaliteit van de uitgevoerde DPIA’s dan hopelijk steeds hoger. Wanneer slechts incidenteel een DPIA uitgevoerd wordt, kan het zinvoller zijn om deze taak bij een privacy officer neer te leggen, die met input vanuit de afdelingen de risico’s in kaart brengt. Ook een externe partij kan, vaak met een neutralere blik en met minder risico op beïnvloeding op de werkvloer, helpen om alle risico’s boven water te krijgen.
Hoe graag organisaties vaak ook snel willen beginnen met het implementeren van nieuwe plannen, zorgvuldigheid rond persoonsgegevens is van groot belang. Een niet, of slecht, uitgevoerde DPIA kan het begin zijn van een kostbaar traject, zij het doordat later in een lopend proces allerlei maatregelen dienen te worden genomen, of doordat de toezichthouder een boete of schadevergoeding oplegt.
Met de uitgebreide DPIA-vragenlijst in het Privacy Verified-portal wordt een gebruiker overzichtelijk en in begrijpelijke taal door een DPIA heen geloodst. Ook een bruikbaar model voor het uitvoeren van DPIA’s kan, naast de verantwoordelijke uitvoerder, immers veel verschil maken.
