De DPIA (Data Protection Impact Assessment) wordt helaas nog vaak gezien als een “tick box exercise”: iets wat je nu eenmaal moet doen. Maar als de DPIA is afgerond, dan is het klaar: dikke kans dat de uitkomst in de spreekwoordelijke (en soms zelfs letterlijke) la verdwijnt.
Als fan van de DPIA vind ik dat natuurlijk ontzettend zonde. De DPIA is namelijk een prachtig instrument om te sturen op privacy risico’s en gericht te verbeteren. Hoe dit kan? Op verschillende manieren. Ik wil graag drie voorbeelden geven over hoe een DPIA kan worden ingezet als een verbeterinstrument.
1. Gewone DPIA
Verreweg het meest voorkomende voorbeeld is dat de DPIA wordt gebruikt als het startpunt van verbeteractiviteiten. De organisatie voert een proces uit waarin persoonsgegevens worden verwerkt en wil graag weten hoe (goed) privacy daarin geborgd is en op welke punten verbetermaatregelen kunnen worden doorgevoerd.
Met de DPIA in hand, zijn de risico’s helder en kan de organisatie dan het proces verbeteren. Hiervoor worden er actiehouders aan de geïdentificeerde verbetermaatregelen gekoppeld en wordt er één verantwoordelijke aangewezen om de voortgang te rapporteren aan de proceseigenaar. Of nog beter: tijdens de DPIA workshop zelf beslissen de deelnemers zelf al dat ze de nodige verbeteringen kunnen doorvoeren. Goed geregeld!
2. Meegroei DPIA
Waarbij de DPIA in het voorbeeld hiervoor nog een momentopname is, gaat de “meegroei” DPIA een stapje verder. Het doel is hetzelfde: het proces verbeteren. Het verschil is echter dat de meegroei DPIA op meerdere momenten wordt uitgevoerd. De DPIA groeit als het ware mee met de ontwikkeling van het proces en zorgt ervoor dat privacy “by design” wordt toegepast.
Op voorhand, nog voordat het nieuwe proces “live” is, worden de grootste risico’s in kaart gebracht en de mogelijke maatregelen. De details van het nieuwe proces hoeven nog niet duidelijk te zijn, maar er wordt globaal gekeken naar de belangrijkste consequenties voor privacy en de eventuele haalbaarheid van het proces. De organisatie neemt de aandachtspunten mee in de verdere ontwikkeling van het proces. Een mooi voorbeeld waarbij de DPIA wordt gebruikt om tot ‘Privacy by Design’ te komen.
Telkens daarna als het project een stap verder is en er nieuwe keuzes zijn gemaakt, wordt de DPIA herijkt en wordt gekeken wat het effect is op de risico’s en of er mogelijk aanvullende maatregelen nodig zijn. De DPIA wordt zo gaandeweg de ontwikkeling per logische stap herijkt en de opvolging van de maatregelen blijft inzichtelijk en volgt een gecontroleerd en voorspelbaar proces.
3. DPIA als input voor risicomanagement
De behoefte om privacy risico’s goed in de gaten te kunnen houden wordt ook steeds groter. Managers en FG’s willen graag inzicht in welke risico’s een organisatie loopt en welke maatregelen proces-overstijgend moeten worden opgepakt. Privacy risico’s worden daarbij steeds meer onderdeel van organisatie breed integraal risico management (naast bijvoorbeeld financiële en operationele risico’s). De DPIA is in deze gevallen het startpunt van (privacy) risicomanagement.
De uitgevoerde DPIA’s identificeren de risico’s en maatregelen van specifieke processen. Als deze samen in een centraal overzicht eindigen, zoals een risicoregister, kan er over processen heen op verbetering worden gestuurd. Over de risico’s en de status van de behandeling van de risico’s wordt aan het management gerapporteerd, indien gewenst door middel van dashboards en andere visuals.
Een mooie bijkomstigheid van DPIA’s zo te gebruiken, is dat door het inzicht in privacy risico’s vaak ook het privacy bewustzijn toeneemt, met name in het management van de organisatie waaraan, vaak voor het eerst, gerapporteerd wordt. Omdat je tastbaarder maakt waar privacy nou over gaat, wordt het ook makkelijker (want onderbouwd met data) om de juiste mensen in beweging te krijgen.
De DPIA is in deze voorbeelden geen eindpunt, maar juist een startpunt van verbetering! Laat de DPIA daarom niet in de spreekwoordelijke la verdwijnen.
Wil jij meer weten over DPIA’s of kunnen wij je helpen met het uitvoeren van zo’n DPIA? Hier vind je meer informatie: link.