Een DPIA… je doet het niet voor de lol

dpia

Organisaties voeren een privacy risicoanalyse enkel uit omdat deze verplicht is, maar zo’n DPIA (of GEB) leidt ook tot waardevolle inzichten.

Als het gaat over risico’s zijn we geneigd verkeerd te denken. Ikzelf maak me hard voor goede privacy. Ik vind het belangrijk dat organisaties goed omgaan met mijn privacy en ga er ook gewoon van uit dat andere organisaties ook goed omgaan met mijn privacy en de privacy van de andere betrokkenen. Maar niet iedereen is bezig met de betrokkenen als het gaat om privacy, maar juist met de risico’s voor de organisatie zelf. Zoals het risico op een boete of het risico dat we niet compliant zijn (niet voldoen aan wetgeving).

Het gaat hiebij echter om de risico’s voor betrokkenen. Die ‘betrokkenen’ zijn de mensen van wie je de gegevens verwerkt. Bij ‘de risico’s’ kun je denken aan hoe groot de kans is op een datalek, met bijvoorbeeld identiteitsfraude tot gevolg. Kijk deze nieuwe voorlichtingsvideo van de Rijksoverheid maar eens:

of deze NOS reportage van eind 2015 over wat voor een gigantische gevolgen identiteitsfraude kan hebben.

Wat is een DPIA (ook wel GEB)?

Een DPIA is de afkorting voor Data Protection Impact Assesment, in het Nederlands ook wel Gegevensbescherminsgseffectbeoordeling genoemd (ja echt waar, het is 1 woord dat dan weer wordt afgekort als GEB).

Een DPIA is een risicoanalyse die verplicht is wanneer gegevensverwerking een ‘waarschijnlijk hoog’ privacyrisico voor betrokkenen oplevert.

Een DPIA kan je doen op een proces of op bijvoorbeeld een (nieuw) systeem. Op de site van de autoriteit persoonsgegevens kan je teruglezen wanneer je in ieder geval een DPIA moet uitvoeren aan de hand van 16 voorbeelden.

Bepaal dus eerst of je verwerking een ‘hoog risico verwerking’ is en daarna voer je een DPIA uit met een multidisciplinair team, al dan niet onder begeleiding van een (externe) DPIA coördinator die kritische vragen kan en durft te stellen tijdens de kick-off bijeenkomst en afstem momenten. Als tijdelijk DPIA implementatie manager bij het Openbaar Ministerie heb ik tientallen van dergelijke kick-off sessies gecoördineerd en telkens hoor je terug dat het mooie inzichten oplevert. Niet alleen qua kennis van privacy, maar ook van het betreffende onderwerp, inclusief diverse “wenkbrauw” momenten “oh, gaat het zo…”.

Een DPIA traject bestaat veelal uit enkele dagdelen, waarbij je afspreekt met het gehele team (zoals tijdens de kick-off) en afstemt tussen de bijeenkomsten door.

dpia diragram

Het houdt niet op met alleen een DPIA

Het eindresultaat, de verslaglegging, is echter zelden tot nooit het eindpunt. Uit elke DPIA volgen namelijk risico’s en bij risico’s horen maatregelen die deze risico’s terugbrengen tot een acceptabel niveau, men noemt dit het nemen van mitigerende maatregelen. Een mitigerende maatregel is dus een maatregel die het risico weer verlaagt. Een risico inschatting is echter erg lastig te maken. Op basis van gevoel kan je er wel komen, maar alleen op gevoel maak je niet een goede DPIA. Het is daarom slim de risico’s te beschrijven en toe te lichten op basis van “kans” en “impact”.

Als je een schaal van 3 gebruikt (laag, midden en hoog) gebruikt werkt dat als volgt:

  • Wat is de kans dat het risico zoals beschreven ook daadwerkelijk plaatsvindt, is dat risico hoog, of eerder midden, of misschien wel laag.
  • Wat is de impact voor de betrokkenen als het risico daadwerkelijk plaatsvindt. Is die impact hoog, of eerder midden, of misschien wel laag.

Gebruik bij de risicobepaling vervolgens de formule: risico = kans x impact. Oftewel als zowel de kans als de impact hoog is, is als vanzelfsprekend het risico ook hoog. Laag x laag blijft als vanzelfsprekend ook een laag risico en bij een mix, is het veelal toch weer een inschatting of het risico midden is, of toch hoog.

Het uitvoeren van een DPIA is echter geen eenmalige administratieve actie. Je moet immers de mitigerende maatregelen ook borgen in de organisatie en daarnaast dient een DPIA herhaalt te worden na 3 jaar of wanneer het risico voor de betrokkenen wijzigt, bijvoorbeeld door een wijziging in het proces of het verwerkingssysteem.

Nu voelt zo’n DPIA uitvoeren misschien als een last. Mijn ervaring is echter dat je als DPIA team veel leert, namelijk:

  • Het proces is inzichtelijk in kaart gebracht
  • We kennen de risico’s beter en kunnen dus ook de kans dat er iets mis gaat makkelijker kleiner maken
  • Als je toch bezig bent met de inventarisatie van de privacyrisico’s en het proces goed onder de loep neemt, kijk dan ook eens met een andere bril dan de privacybril naar je processen en rollen. Hoe “lean” is jouw risicovolle verwerking eigenlijk? Er is eigenlijk altijd wel verbetering mogelijk.

Kortom, een DPIA is een mooi hulpmiddel om de processen en systemen nog slimmer en meer privacyproof te maken.