Geplaatst 28-03-22
"You have always been doing it wrong".
Wie dat googelt, wordt getrakteerd op een schier eindeloze reeks van dingen die je altijd al verkeerd deed, van het verschonen van je baby tot het schillen van een mango. In dit stuk wil ik een lans breken voor een andere kijk op de DPIA. Een insteek die meer recht doet aan het doel ervan.
Wat is een DPIA?
Een Data Protection Impact Assessment (DPIA) of een gegevensbeschermingseffectbeoordeling (GEB) wordt door een verwerkingsverantwoordelijke uitgevoerd op een verwerking van persoonsgegevens om te beoordelen of die verwerking in lijn is met de spelregels van de privacywetgeving (AVG).
Het Doel van de DPIA
In een utopische wereld is geen plaats voor de DPIA, omdat het in die wereld vanzelfsprekend is dat bij iedere levensfase van een gegevensverwerkingsproces (van ontstaan tot beëindiging) nauwgezet rekening wordt gehouden met algemeen geaccepteerde privacy beginselen. Zo worden nooit méér gegevens verzameld dan strikt noodzakelijk en worden gegevens altijd versleuteld waar mogelijk en verwijderd zodra dat kan. Ook worden de gegevens slechts gebruikt voor het doel waarvoor ze werden verzameld en wordt dit doel altijd op een heldere manier gecommuniceerd naar de persoon van wie de gegevens verwerkt worden.
De DPIA ondersteunt organisaties in hun streven naar die utopische vanzelfsprekendheid. Mits op de juiste manier ingezet, kan een DPIA jouw medewerkers motiveren om binnen hun eigen kennisdomein een bijdrage te leveren aan de bescherming van persoonsgegevens. Als daardoor de privacy beginselen worden toegepast vanaf de ontwerpfase van processen of systemen, spreekt men van Privacy by Design.
Van Privacy by Design naar Privacy by Punishment
Waarom zien we dan in de praktijk toch veel voorbeelden van situaties waarin het toepassen van Privacy by Design ogenschijnlijk tekort is geschoten? In mijn optiek hangt dat samen met de manier waarop momenteel collectief tegen de DPIA wordt aangekeken en - daaruit voortvloeiend - de manier waarop die wordt ingezet.
Een voorbeeld ter illustratie:
Het is april 2022. In een willekeurige Nederlandse gemeente heeft de lokale politieke partij een absolute meerderheid behaald bij de gemeenteraadsverkiezingen. De partij in kwestie had burgerparticipatie tot het speerpunt van haar programma gemaakt, dus wordt na de vorming van het College van B&W direct werk gemaakt van het opzetten van een zogeheten burgerpanel.
Er wordt een gemotiveerd projectteam samengesteld dat voortvarend aan de slag gaat met het beschrijven van de gewenste processen, benodigde technische ondersteuning en natuurlijk een kostenraming. Vlak voordat de projectplannen voor akkoord naar het College worden gestuurd, wordt de gemeentelijke FG om advies gevraagd. Zij beoordeelt de plannen en komt tot de conclusie dat het uitvoeren van een DPIA vereist is voor het beoogde online platform. Als de teamleider van het project de vragenlijst van het gemeentelijke DPIA-model onder ogen krijgt, zakt hem de moed in de schoenen. "Beschrijf dit, beschrijf dat ... dit is echt heel veel werk!", denkt hij. "Die ellendige AVG staat ook altijd in de weg!"
Dikke kans dat de teamleider uit het voorbeeld zijn initiële motivatie snel is verloren. Voor hem voelt de verplichting van de DPIA als een onverdiende straf voor zijn inzet en de benodigde inspanning als belemmering voor het succes van zijn project. Eventuele resulterende maatregelen van de DPIA zullen door de teamleider worden ervaren als nieuwe AVG-sancties op zijn project. Bij een volgend project zal hij alles in het werk stellen om een DPIA te ontwijken. Het ongewenste resultaat van Privacy by Punishment.
Positionering van de FG
Lees onze visie op de nut en noodzaak van privacy- en informatiebeveiliging en bovendien hoe je de rest van de organisatie mee kan krijgen.
Terug naar de kern: de opzet van de DPIA
In Nederland zijn uiteenlopende DPIA-modellen in omloop. Recent nog is er een nieuwe versie verschenen van het DPIA-model van de rijksoverheid. Het gros van deze modellen hebben de vorm van een vragenlijst, waarbij niet zelden één van de eerste vragen is: "Geef een gestructureerde beschrijving van de (beoogde) gegevensverwerking", gevolgd door "Beschrijf het doel van de gegevensverwerking". Dat is opmerkelijk, maar ook zorgelijk.
Dat is opmerkelijk, omdat de vraagstelling impliciet veronderstelt dat de DPIA het eerste moment is dat de procesverantwoordelijke wordt gedwongen om na te denken over het verwerkingsproces en het doel daarvan. Dat is bovendien zorgelijk, omdat het blijkbaar niet nodig is om deze zaken op een rij te hebben, wanneer de FG tot de conclusie komt dat een DPIA achterwege kan blijven. Dan krijgt de verantwoordelijke medewerker de vragen uit het model immers nooit voorgeschoteld.
Het lijkt mij, dat van een professionele organisatie - zeker in sectoren als overheid, zorg en onderwijs – mag worden verwacht dat van ieder verwerkingsproces minimaal wordt gedocumenteerd hoe het proces eruitziet, welke gegevens daarin worden verwerkt en wat het doel ervan is. Niet als onderdeel van een - al dan niet verplichte – DPIA, maar simpelweg als essentiële voorwaarde voor de totstandkoming van de verwerking.
Het alternatief: de DPIA als audit
Is het daarom niet veel logischer om de DPIA de lijn te laten volgen van een audit? In die vorm bevat het model niet een verzameling (open) vragen, maar een reeks concrete normen; bijvoorbeeld: "Het verwerkingsproces is op toegankelijke en gestructureerde manier gedocumenteerd". Van de invuller wordt dan niet gevraagd om na te denken over een procesbeschrijving, maar hij wordt geacht die reeds beschikbaar te hebben.
Consequentie van deze benadering is dat de procesverantwoordelijke zich niet gestraft voelt door een ellenlange invuloefening, maar een helder overzicht krijgt van de minimale eisen voor de toelaatbaarheid van een proces waarin persoonsgegevens worden verwerkt. Daarmee verander je de mindset van "ga hier eens over nadenken" naar "hier behoor je over te hebben nagedacht". Uiteraard is het zaak om de geldende normen - die aan privacyregelgeving zijn ontleend - regelmatig onder de aandacht van medewerkers te brengen, zodat die niet als verrassing komen bij het uitvoeren van de DPIA.
Van risico naar bevinding
Geheel in lijn met de audit-benadering, kan iedere gestelde norm eventueel worden uitgewerkt in één of meer normeisen. Die normeisen geven de kans om praktische invulling te geven aan een generieke norm. Deze opzet leent zich ook goed voor organisatie-specifieke eigen normeisen, bijvoorbeeld in het kader van MVO-doelstellingen.
Wanneer de procesverantwoordelijke van mening is dat hij voldoet aan de betreffende norm of normeis, onderbouwt hij of zij dit met bewijsstukken. Indien de onderbouwing faalt, wordt het betreffende onderdeel bestempeld als een (kritieke of niet-kritieke) afwijking. Als een DPIA wordt afgesloten met afwijkingen, dan zullen deze gecorrigeerd moeten worden met één of meer corrigerende maatregelen voordat de verwerking kan starten.
"En de risico inschatting dan?", hoor ik je denken. Die komt er niet aan te pas, want de DPIA-normen stellen de minimale eisen waaraan een rechtmatige verwerking moet voldoen. Dat is een vrij binaire exercitie - je voldoet of je voldoet niet. Bovendien voorkomt dat een ellenlange lijst met veel te specifieke risico-omschrijvingen uit vele verschillende DPIA's, die samen met de lijvige antwoorden op de vragenlijst als narrig rapport in een stoffige lade terechtkomen.
FG als auditor
In de huidige DPIA-praktijk komt de Functionaris Gegevensbescherming vaak pas om de hoek kijken, wanneer de DPIA is uitgevoerd. De FG moet als toezichthouder immers in staat zijn om een onafhankelijk oordeel te geven over de inhoud van de DPIA. In een opzet waarbij "de antwoorden" pas worden verzonnen wanneer de DPIA wordt uitgevoerd, is het voor een FG inderdaad verstandig om zich afzijdig te houden totdat die klus is geklaard.
In de audit-benadering is dit niet aan de orde. Het uitvoeren van de DPIA bestaat slechts uit het beoordelen van de beschikbare bewijsstukken. Dit kan de FG in samenspraak met de procesverantwoordelijke uitvoeren, zonder dat daarbij sprake is van een "slager keurt zijn eigen vlees"-situatie. Daarmee wordt de DPIA voor de FG een effectiever instrument om procesverantwoordelijken op een zinnige manier te betrekken bij het Privacy by Design-principe.
Continue verbetering met de DPIA in de auditcyclus
In de huidige vorm is de DPIA lastig in bestaande bedrijfsprocessen te passen. Dat komt voornamelijk doordat de uitkomsten van een DPIA zich moeilijk laten "vangen" en daardoor ook lastig zijn op te volgen. Zijn het risico's die moeten worden gemitigeerd in een behandelplan? Of juist suggesties voor nieuwe (beheers)maatregelen?
Door de DPIA te benaderen als audit, kun je deze inpassen in het bestaande auditproces. Zo kun je een auditplan samenstellen, waarin verwerkingen periodiek worden getoetst op de geformuleerde normeisen. Op die manier kun je rekening houden met een veranderende wereld en de effectiviteit van corrigerende maatregelen uit het verleden monitoren.
Conclusie
Hebben we het altijd al verkeerd gedaan? Misschien. Feit is in elk geval dat er helaas nog regelmatig misstanden aan het licht komen, die met een effectieve DPIA voorkomen hadden kunnen worden. Daarbij denk ik dan bijvoorbeeld aan de situatie bij de GGD tijdens de Coronapandemie, waarbij medewerkers ongelimiteerd en ongecontroleerd gegevensverzamelingen konden downloaden en doorverkopen. Blijkbaar wordt de DPIA in gevallen van crisis te gemakkelijk terzijde geschoven.
Juist in die gevallen kan een audit-benadering soelaas bieden door duidelijke minimumeisen te stellen. Kritieke afwijking? Terug naar start!
Wil je snel verbeteren?
Download onze whitepaper over het eenvoudig opzetten van een beheersysteem voor informatiebeveiliging en privacy met gebruiksvriendelijke GRC-Software.
Denk jij ook dat de DPIA effectiever kan?
Laat het ons weten in de commentaren bij
het artikel op LinkedIn
Onze belofte
Wat mag je van ons verwachten als je kiest voor TrustBound GRC voor het uitvoeren van DPIA?
-
Meetbaar resultaat binnen enkele weken
Ons platform werkt als een vliegwiel. Met pasklare templates heb je in korte tijd de basis op orde. Realtime rapportages geven bovendien snel zicht op de grootste risico’s. -
Samenwerken wordt vanzelfsprekend
TrustBound GRC is gericht op samenwerken. Medewerkers uit verschillende teams en disciplines worden verbonden door de eenduidige structuur en gemeenschappelijke doelen. -
Je staat er niet alleen voor
We staan voor je klaar, tijdens de implementatiefase én daarna. Bovendien wordt het TrustBound GRC Platform gedragen door een netwerk van gespecialiseerde Kennispartners, waardoor altijd hoogwaardige kennis beschikbaar is voor inhoudelijke vraagstukken. -
Verrassend doordacht
Wij maken al 20 jaar software om het werk van professionals effectiever en leuker te maken. Niet met een eindeloze rij knoppen en schermen, maar met doordachte functies die verrasssen door eenvoud en bijdragen aan de verbetering van je aanpak.