Lees meer over: Privacy


De DPIA – een ‘acquired taste’

Als je me vijf jaar geleden had verteld dat ik van mening was dat een Data Protection Impact Assessment (DPIA) een ‘acquired taste’ zou zijn, dan had ik je voor gek verklaard. Ik moet eerlijk toegeven dat ik nog geregeld mensen tegen kom die mij voor gek verklaren als ik zeg dat ik het leuk vind om een DPIA te doen.

Dat snap ik eigenlijk ook wel, want wie vindt het nu leuk om over zijn eigen werk een ellenlange vragenlijst met abstracte termen in te vullen (denk aan grondslag, doelbinding, minimalisatie, transparantie). Daar komt nog eens bij dat je bij ieder antwoord dat je geeft denkt dat dit een verkeerd antwoord is en je wel in kunt pakken.

Maar zo oncomfortabel zou zo’n DPIA niet moeten zijn en daarom doen we het bij VKA anders. Sinds 2016 voeren wij DPIA’s uit en daar worden we steeds handiger in. Zo handig, dat het ook voor klanten steeds duidelijker is wat de toegevoegde waarde kan zijn van een DPIA – een verhelderend stuurinstrument. In 2018 gingen we een stap verder, door het VKA DPIA-wiel te introduceren, iets wat bij sommige klanten zelfs is verworden naar het ‘DPIzzA wiel’, verwijzend naar de namiddag/avonduren waarin de DPIA-sessies worden gehouden. Want wat het DPIA-wiel doet is eigenlijk heel eenvoudig: die abstracte privacywetgeving vertalen naar praktische en overzichtelijke punten.

We gingen nog een stapje verder met het boekje “Hoera, een DPIA!”, waarin we beschrijven op welke praktische wijze we onze DPIA’s doen. Met een herkenbare aanpak, bruikbare hulpmiddelen en talrijke tips zijn veel privacy adviseurs hiermee aan de slag gegaan.

En toch… na 5 jaar DPIA’s uitvoeren leer ik elke keer weer bij over hoe het beter kan. Dankzij die tientallen keren dat ik in groepen met studenten in gesprek ga over hoe je een DPIA moet doen. Dankzij de meer dan 100 keer dat ik een DPIA heb uitgevoerd. De beloning zit hem in de talloze complimenten van mensen die zoiets zeggen als: “Ik had er vanochtend helemaal geen zin in, maar het was eigenlijk best leuk”.

Maar eigenlijk is het niet van belang wat ik van een DPIA vind, want dat weet ik al lang. Ik zou vooral iedere privacy adviseur willen aanmoedigen om DPIA’s te doen en dit te blijven doen. Want door vaker DPIA’s toe doen wordt het leuk en leer je het lekker vinden, een acquired taste dus!