Een DPIA (data protection impact assessment) is de vooraf-toets waarmee je de privacyrisico's van een gegevensverwerking in kaart brengt. In Normity leg je die op drie manieren vast: helemaal niet (geen aanrader), als gekoppeld document, of als volwaardige vragenlijst. Die laatste optie maakt je DPIA een levend onderdeel van je managementsysteem.
Een DPIA klinkt als zo'n verplichting waar je vooral vanaf wilt zijn. Even een document invullen, in een map zetten, strik eromheen en door naar het echte werk. Herkenbaar? Toch laat je daarmee kansen liggen. Want een goed uitgevoerde DPIA is geen papieren verplichting, maar een echt hulpmiddel om je gegevensverwerkingen scherp te krijgen. We laten je in dit artikel drie manieren zien om een DPIA in Normity vast te leggen. Van de manier waarop het eigenlijk niet moet, tot de aanpak die onze voorkeur heeft. Handig als je al met het verwerkingsregister in Normity werkt, of als je erover nadenkt om je privacybeheer serieuzer aan te pakken.
DPIA staat voor Data Protection Impact Assessment. De officiële Nederlandse term uit de AVG is nog een tikje ambtelijker: gegevensbeschermingseffectbeoordeling. Je komt ook wel de afkorting GEB tegen, maar in de praktijk zegt vrijwel iedereen gewoon DPIA (vaak met de klemtoon op de P). En dat houden we hier lekker zo.
De kern is simpel. Een DPIA is een toets die je vooraf uitvoert om de privacyrisico's van een gegevensverwerking in kaart te brengen. Zodat je maatregelen kunt nemen vóórdat er iets misgaat, en niet pas als de gegevens van je klanten al in jouw bezit zijn, gekopieerd zijn, op straat liggen. Dat idee. De basis staat in artikel 35 van de AVG.
Wanneer is zo'n DPIA verplicht? Zodra een verwerking waarschijnlijk een hoog risico oplevert voor de mensen van wie je gegevens verwerkt. De AVG noemt in elk geval een paar situaties waarin het altijd moet:
De Autoriteit Persoonsgegevens heeft daarnaast een eigen lijst met zeventien soorten verwerkingen waarvoor een DPIA sowieso verplicht is. Zie deze link. Staat jouw verwerking daar niet op? Dan ben je er nog niet vanaf: je moet dan zelf beoordelen of er sprake is van een hoog risico.
En wat moet er dan minimaal in zo'n DPIA staan? De AVG is daar concreet over. Vier onderdelen:
Heb je een functionaris gegevensbescherming (FG) aangesteld? Dan vraag je die om advies bij het uitvoeren van de DPIA. De FG doet het werk meestal niet zelf, maar denkt mee over de aanpak en bewaakt of je de uitkomsten ook echt oppakt. Lang niet iedere organisatie heeft overigens een FG in deze formele toezichthoudende rol, maar dat terzijde.
De makkelijkste optie eerst. Je doet gewoon helemaal niks. Geen DPIA, geen gedoe, lekker door met de dagelijkse dingen.
Grapje natuurlijk. Niet doen! Maar we zetten het bewust bovenaan, omdat dit in de praktijk nog verrassend vaak de gekozen route is. Niet uit onwil, maar omdat het er simpelweg bij inschiet. Of omdat een DPIA niet eens bekend is. Het staat vaak op de lijst met dingen-die-eigenlijk-nog-moeten, en daar blijft het dan ook staan. Totdat er een datalek is, of een auditor ernaar vraagt, of een betrokkene een klacht indient. En dan blijkt dat je niet kunt aantonen dat je vooraf hebt nagedacht over de risico's.
Dus nee, deze optie raden we af. Maar we willen wel meteen een misverstand uit de wereld helpen. Het gaat er niet om dat je een DPIA doet voor de vorm. Een DPIA die je invult om het vinkje te halen, en waarvan de uitkomsten vervolgens in een la verdwijnen, is bijna net zo waardeloos als geen DPIA. Sterker nog: hij geeft een vals gevoel van veiligheid.
Doe het dus wel. Maar doe het goed. En daarvoor helpen de volgende twee opties in Normity.
De snelste serieuze manier: je legt je DPIA vast als document in Normity. Je hebt namelijk een streepje voor als je al met een bestaand DPIA-model werkt. Er is geen wettelijk verplicht model, dus je bent vrij om een bestaande template te gebruiken. In Nederland zijn bijvoorbeeld het Model DPIA Rijksdienst en het NOREA-model voor overheden populair. Prima startpunten.
Vul zo'n model in, en breng het op één van deze manieren in Normity:
En dan komt het voordeel dat een document in Normity onderscheidt van een document op een netwerkschijf: je kunt het koppelen aan andere items. Aan de verwerking waar de DPIA over gaat, maar ook aan de bijbehorende risico's, wettelijke eisen, acties of leveranciers. Zo staat je DPIA niet op zichzelf, maar maakt hij deel uit van het grotere geheel. Handig als je later wilt terugvinden waárom je een bepaalde maatregel hebt genomen.
Snel te realiseren, standaardmodellen meteen bruikbaar, en netjes gekoppeld. Voor veel organisaties is dit een prima startpunt. Maar er is nog een stap die je kunt zetten. Voor de experts!
Nu wordt het pas echt leuk. In plaats van je DPIA als los document vast te leggen, giet je hem in een vragenlijst in Normity. Dat kost iets meer voorbereiding. Maar wat je ervoor terugkrijgt, is de moeite meer dan waard.
Het idee is simpel: je zet de vragen uit je DPIA-model om naar vragen in Normity. Per vraag kies je een type, bijvoorbeeld Ja/Nee, Score, Selectie of Vrije tekst. En je hoeft dat niet allemaal handmatig in te tikken. We hebben een importfunctie: je vult een Excel-template met je vragen, uploadt die, en Normity maakt er in één keer een vragenlijst van. Zeker als je een uitgebreid model gebruikt, scheelt dat een hoop typewerk.
Heb je je vragenlijst eenmaal staan, dan zet je hem uit. Voor jezelf, of voor een collega die de verwerking het beste kent. De ingevulde antwoorden komen daarna netjes in Normity terecht. En dat is precies waar de kracht zit. Je hebt niet alleen een ingevuld document, maar alle antwoorden als gestructureerde data in je managementsysteem.
Wat je daarmee wint:
En net als bij de documentroute wordt ook deze DPIA een integraal onderdeel van je managementsysteem. Je koppelt de uitgezette vragenlijst aan de verwerking, de risico's en de maatregelen. Geen los eiland, maar verweven met de rest van je compliance.
Of je nu voor het document kiest of voor de vragenlijst, beide komen op dezelfde plek samen: de verwerking in je verwerkingsregister. En dat is precies zoals het hoort. Een DPIA hoort namelijk bij een specifieke verwerking, niet los in het luchtledige.
In Normity zet je bij de betreffende verwerking het veld 'DPIA vereist' op ja. Vervolgens koppel je je DPIA op de manier die je hebt gekozen. Bij een document is dat via het tabblad 'Documenten', bij een vragenlijst via het tabblad 'Vragenlijsten'. Zo hangt de DPIA traceerbaar aan de verwerking waar hij bij hoort.
Normity houdt hier keurig de vinger aan de pols. Heb je bij een verwerking aangegeven dat een DPIA vereist is, maar nog niets gekoppeld? Dan krijg je een seintje: 'DPIA vereist, maar geen document gekoppeld'. Zo blijft er niets liggen. En dat is nou precies het verschil tussen een DPIA die je doet voor het nut, en eentje die je doet voor de vorm.
Onze eerlijke aanraders? Optie 1 doen we niet, dat mag inmiddels duidelijk zijn. Zit je nog in de opstartfase, of wil je snel iets neerzetten met een beproefd model, begin dan met de documentroute. Prima keuze, zo ben je snel op orde.
Wil je er echt iets aan hebben, en zie je een DPIA niet als verplichting maar als hulpmiddel? Dan is de vragenlijst je vriend. Ja, het kost wat meer voorbereiding. Maar daarna heb je een herbruikbaar instrument dat je keer op keer inzet, met alle antwoorden netjes in je systeem. Begin klein: bouw je eerste DPIA-vragenlijst op, zet hem uit voor één verwerking, en kijk hoe het bevalt. Grote kans dat je daarna niet meer terug wilt naar losse documenten.
En mochten we je nou nieuwsgierig hebben gemaakt, dan hopen we natuurlijk wel dat je even contact met ons opneemt. We laten je graag zien hoe het vastleggen van DPIA's in de praktijk werkt. Een demo is zo geregeld en kost je niks. Beloofd!
De vragen die we het vaakst krijgen over een DPIA vastleggen in Normity, met korte en feitelijke antwoorden.
Een DPIA is verplicht zodra een verwerking waarschijnlijk een hoog risico oplevert voor de mensen van wie je gegevens verwerkt. Denk aan grootschalige verwerking van bijzondere persoonsgegevens, systematische profilering of cameratoezicht in openbare ruimten. De Autoriteit Persoonsgegevens heeft daarnaast een lijst met zeventien soorten verwerkingen waarvoor een DPIA sowieso moet. Staat jouw verwerking daar niet op, dan beoordeel je zelf of er sprake is van hoog risico.
De AVG (artikel 35, lid 7) vraagt om vier dingen: een systematische beschrijving van de verwerking en de doeleinden, een beoordeling van de noodzaak en evenredigheid, een beoordeling van de risico's voor betrokkenen, en de maatregelen die je neemt om die risico's te verkleinen. Blijft er een hoog restrisico over dat je niet kunt afdekken, dan moet je de AP vooraf raadplegen.
Ja. Er is geen wettelijk verplicht model, dus je mag een bestaande template gebruiken. Veelgebruikt in Nederland zijn het Model DPIA Rijksdienst en het NOREA-model. Kies je in Normity voor de documentroute, dan upload of koppel je zo'n model direct. Wil je de vragenlijstroute, dan zet je de vragen uit zo'n model eenmalig om naar Normity-vragen, eventueel via de importfunctie.
Een document is snel geregeld en je kunt een standaardmodel meteen gebruiken, maar de inhoud blijft in het bestand zitten. Een vragenlijst kost iets meer voorbereiding, maar daarna zitten alle antwoorden gestructureerd in Normity. Je kunt hem makkelijk uitzetten, herinneren, exporteren en koppelen aan andere onderdelen van je managementsysteem.
Als je organisatie een FG heeft, moet je die om advies vragen bij het uitvoeren van een DPIA. De FG voert de DPIA meestal niet zelf uit, maar adviseert over de aanpak, toetst de kwaliteit en bewaakt of de uitkomsten worden opgevolgd. Leg dat advies en wat je ermee hebt gedaan vast bij je DPIA. In Normity kun je de FG bijvoorbeeld als betrokkene of controleur aan het document of de uitzetting koppelen.
In het verwerkingsregister zet je bij de betreffende verwerking het veld 'DPIA vereist' op ja. Vervolgens koppel je via het tabblad 'Documenten' het DPIA-document, of via het tabblad 'Vragenlijsten' de uitgezette DPIA-vragenlijst. Zo hangt de DPIA traceerbaar aan de verwerking waar hij bij hoort.