Hoe voorkom je teleurstellingen bij een DPIA op jouw project?


Nog regelmatig horen we geklaag dat een project op het laatste moment is afgeschoten vanwege ‘de privacy’. Daar kunnen veel verschillende redenen achter zitten en het is vast niet altijd vanwege de privacy. Alleen komt een probleem dan bij de controle door de privacy officer of FG aan het licht, omdat daar nu eenmaal ook wordt gekeken of er een duidelijke legitieme grondslag is voor een project. Hoe dan ook: de toets die vanwege de privacyregelgeving wordt uitgevoerd levert wel belangrijke inzichten op. De beste manier om die inzichten gestructureerd in kaart te brengen is in de vorm van een Data Protection Impact Assessment (DPIA). Die is niet altijd verplicht, maar in deze blog zal ik wel uitleggen hoe een DPIA-proces kan helpen om teleurstellingen te voorkomen. Een DPIA-proces en het vastleggen wie waar van is tijdens het DPIA-proces is immers een onderdeel van je privacymanagement en kan een duidelijk herkenbare stap zijn bij nieuwe initiatieven in je organisatie.


Het DPIA-proces binnen een organisatie

Niet overal is al een echt DPIA-proces ingericht. Vaak is er wel een keuze voor een bepaald DPIA format, zoals het Rijksmodel gegevensbeschermingseffectbeoordeling (verplicht voor Rijksoverheid) of een eigen model. In essentie maak het niet uit welk model je kiest, als het maar voldoet aan de 4 verplichte onderdelen uit artikel 35 lid 7 van de AVG.


Een proces rondom de uitvoering van een DPIA bevat enkele stappen aan de voorkant en enkele stappen aan de achterkant van de eigenlijke DPIA. Op hoofdlijnen gaat het om het volgende:
- Wil je een nieuw project of samenwerking gaan starten of een nieuwsysteem gaan inzetten?: informeer de privacy officer of FG
- Voer eerst een Pre-DPIA uit: om te toetsen of een DPIA verplicht is toets je dit aan de hand van de criteria van de Europese privacytoezichthouders  

o Als de uitkomst van de pre-DPIA is dat geen DPIA verplicht is: zorg voor een korte terugkoppeling met de privacy officer en bespreekof er geen zaken vergeten zijn (registreer de motivatie van het niet uitvoeren van een DPIA): einde proces;
o Als de uitkomst van de pre-DPIA is dat een DPIA verplicht is: stem met de privacy officer af over de uitvoering en planning van de DPIA
- Voer de DPIA uit, eindigend met een advies/conclusie (staat niet in het Rijksmodel, maar dit is wel nodig als input voor de besluitvorming)
- De verantwoordelijke manager/bestuurder besluit om het nieuwe project/systeem door te laten gaan, af te blazen, of onder voorwaarden door te laten gaan (de uitvoerder van de DPIA neemt dus normaliter niet ook zelf het besluit). Zorg daarnaast voor de registratie van het onderbouwde besluit.


In het DPIA-proces zijn de korte overlegstapjes met de privacy officer of FG essentieel. Zodra zij geïnformeerd zijn kunnen ze meedenken, eventuele aandachtspunten benoemen, en adviseren over de bijvoorbeeld af te sluiten (verwerkers-)overeenkomsten. Als je de privacy officer vroeg betrekt zal die doorgaans ook meer bereid zijn mee te werken, dan wanneer op het laatste moment nog snel een DPIA moet worden uitgevoerd of de DPIA op het laatste moment door de privacy officer beoordeeld moet worden. Niet alleen wordt de druk op de privacy officer dan veel minder, maar de privacy officer kan ook goed in een adviserende en ondersteunende rol gaan fungeren. En dus zijn/haar kennis en expertise delen met het doel om een project te laten slagen.
Timing en ruimte voor dialoog

De timing van het aanhaken van de privacy officer is dus van belang. Net zoals een projectleider niet verrast wil worden door last minute wijzigingen wil een privacy officer niet verrast worden door last minute verzoeken als de livegang van een project of systeem al op korte termijn is gepland. Op tijd aankloppen helpt om een goede dialoog te kunnen voeren en levert uiteindelijk tijdswinst op voor iedereen. Bovendien kan een privacy officer mogelijk alternatieven of suggesties aandragen waardoor een project wellicht minder privacy-impact zal hebben. Dat kan zelfs tot gevolg hebben dat met een alternatieve aanpak een DPIA niet vereist is, waar het eerst wel verplicht zou zijn.


En neem van mij aan: privacy officers en FG’s zijn net als iedereen medewerkers die een organisatie goed en compliant willen laten draaien. Een starthouding die elk initiatief blokkeert is (gelukkig) zeldzaam. Maar als er te laat wordt aangeklopt, of met te weinig informatie, kan een negatief advies wel als blokkerend worden ervaren. Met een tijdig gesprek was dat negatieve advies wellicht niet nodig geweest. Dus voorkom teleurstellingen door niet af te wachten totdat je een DPIA moet gaan uitvoeren, maar leg al bij de eerste plannen het contact met de privacy officer of FG. Dan help je elkaar verder en boek je meer successen!

Gepubliceerd op
1/11/2021
DPIA proces privacy management EDPB