Geef je DPIA meer paardenkracht
Stel: je bent verantwoordelijk voor privacy binnen je organisatie. Grote kans dat je dan de vraag krijgt om een Data Protection Impact Assessment (DPIA) uit te voeren. Misschien ben je daar blij mee, omdat je een DPIA, net als ik, een geweldige manier vindt om diep een proces in te duiken en er vanalles over te leren. Of misschien vind je het minder leuk, omdat je geen idee hebt hoe het moet en verschillende collega’s hebt horen zuchten “ach, komen ze dan zeker weer aan met hun vragenlijstje” (spoiler alert: een goede DPIA is geen standaard vragenlijstje).
Voer een DPIA samen uit!
Maar of je een DPIA nou leuk vindt of niet, je kan ‘m natuurlijk niet in je eentje uitvoeren. Juist de kennis van de mensen die je bij een DPIA betrekt, kunnen je DPIA sterker en sneller maken. Ze bepalen het ware het vermogen van je DPIA. Dus laten we eens vanuit “paardenkracht” bekijken wie je moet betrekken bij een DPIA. Je vindt 6 tips in deze blog. Als je deze mensen voor je karretje weet te spannen voorkom je namelijk dat je het paard áchter de wagen spant!
1. Je DPIA helpt haar te paard: de procesverantwoordelijke
De procesverantwoordelijke zoals een lijnmanager, afdelingshoofd of projectleider is enorm geholpen met een DPIA. De DPIA is namelijk meer dan alleen een vinkje op je compliance checklist. Het primaire doel van de DPIA is namelijk het ontdekken, wegen en wegwerken van privacy risico’s. Bovendien komen vaak andere risico’s of uitzoekpuntjes van het onderhavige proces bovendrijven die het project verder helpen of het proces efficiënter kunnen maken. Het is daarom aan te raden de procesverantwoordelijke goed bij de DPIA te betrekken. Zij is namelijk ook degene die eventuele risico’s die uit je DPIA voortkomen moet mitigeren.
2. Het beste paard van stal: De proceskenner
Misschien wel belangrijkste bijdrage aan je DPIA wordt geleverd door de proceskenner. Dit kan natuurlijk de proceseigenaar zijn, maar kan ook een gebruiker of uitvoerder zijn, iemand die dagelijks het proces uitvoert. Het is namelijk essentieel om een goed beeld van het daadwerkelijke proces (in de praktijk) te krijgen tijdens een DPIA, de proceskenner is daarvoor onmisbaar. Daarnaast is een DPIA ook een goed bewustwordingsinstrument en is het dus sowieso goed de uitvoering hierbij te betrekken. En omdat je niet op 1 paard gaat wedden, vraag je natuurlijk input van meerdere proceskenners.
3. Soms een hobbelpaard: De verwerker
Een deskundige van de verwerker (bijvoorbeeld: een leverancier van een applicatie of systeem), als die er is, kan zeer waardevolle input leveren. Maar de verwerker kan in sommige gevallen ook je DPIA onnodig vertragen of voor extra kosten zorgen, met name als er vooraf geen afspraken zijn gemaakt over de inzet van de verwerker bij een DPIA. Betrek de verwerker indien dit passend is en zorg er in ieder geval voor dat de verwerker beschikbaar is voor verduidelijkingsvragen indien nodig.
4. Je prins op het witte paard: De (ICT) specialist
Als alternatief voor de verwerker weten de ICT-specialisten (Information security officer, functioneel beheerder, key-user) binnen je organisatie vaak ook veel over de desbetreffende applicatie of het systeem en hebben daarnaast ook relevante kennis van de generieke bedrijfsvoering (archivering, contractvorming, informatiebeveiliging). Deze specialisten zijn daarom ook als je wél input van een verwerker kan krijgen enorm waardevol. Betrek hen dus bij je DPIA. Daarnaast is het relevant om ook een specialist die je meer over de grondslag en doelbinding kan vertellen te betrekken, denk bijvoorbeeld aan een jurist of een beleidsmedewerker.
5. Het oog van de meester maakt het paard vet: De FG
De FG houdt toezicht op de DPIA en moet erover adviseren. Er wordt verschillend gedacht over of dat advies over de DPIA-methode of over de geconstateerde risico’s moet worden gegeven, maar feit is dat het advies van de FG onmisbaar is voor een DPIA. Het is mijns inziens enorm waardevol als de FG meedenkt over risico’s, maatregelen en vooral over de prioriteit van die maatregelen! Betrek de FG daarom op tijd, zodat zij weet dat er een DPIA aankomt waar advies over gevraagd wordt.
6. Een goed paard maakt nog geen goede ruiter: De facilitator
Met al deze paardenkracht ben je er nog niet. Je eigen rol als DPIA-facilitator is minstens net zo belangrijk als de rest. Als facilitator zorg je er namelijk niet alleen voor dat de juiste vragen worden gesteld om een goede risicoanalyse te kunnen doen, maar laat je ook zien dat de DPIA een waardevol instrument is. Als je het goed doet stuur je geen vragenlijstje rond maar laat je je collega’s een aantal uur over hun werk praten (wie vindt dat nou niet leuk?) en deel je een aantal privacy eye-openers uit waar men misschien niet eerder bij heeft stilgestaan. Bij Highberg hebben we daarvoor de “Hoera! Een DPIA” methode ontwikkeld die echt leuk is en waarbij je collega’s dat na afloop van een DPIA misschien ook durven toe te geven!Kortom, met het aanhaken van de juiste personen en een goede aanpak zal je zien dat je collega’s met plezier op jóúw stokpaardje de kar trekken!
En dan wil ik je nog even een wortel voorhouden: Highberg heeft ruime ervaring met DPIA’s.