Een DPIA (gegevensbeschermingseffectbeoordeling) moet uitgevoerd worden als er waarschijnlijk sprake is van een verwerking die een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (betrokkenen). Echter, het geïsoleerd uitvoeren van DPIA’s, of het opstellen van privacyverklaringen en/of verwerkingsovereenkomsten, garanderen bij lange na niet dat je als organisatie privacy accountable bent.
Hier ga ik in op het vaak geïsoleerd uitvoeren van de DPIA (zie art. 35 GDPR) door organisaties die gezien moeten worden als Privacy Greenfields. Hiermee bedoel ik organisaties die niet echt weten waarom, hoe en hoelang zij persoonsgegevens (mogen) verwerken en, al dan niet daartoe geadviseerd, kiezen voor het gebruik van de DPIA als eerste stap op weg naar het GDPR-compliant worden. Dat is nu een sprekend voorbeeld van ‘het paard achter de wagen spannen’, als je het mij vraagt.
Bevind je je als organisatie in een dergelijke situatie, dan is het eerder zaak om vast te stellen:
- welke verwerkingen er binnen de organisatie in gebruik zijn;
- welke de hierbij horende doelomschrijvingen zijn;
- welke de van toepassing zijnde wettelijke grondslagen zijn;
- welke de te verwerken persoonsgegevens zijn;
- met wie die verwerkte persoonsgegevens worden gedeeld;
- hoe lang deze persoonsgegevens mogen/moeten worden bewaard; en
- hoe invulling is gegeven aan een gepaste beveiliging.
Anders gesteld! Ook al verplicht de GDPR niet iedere organisatie daartoe, is het slimmer om eerst te kiezen voor het aanleggen van een register van verwerkingen (art. 30 GDPR) met daarin de ‘belangrijkste’ in gebruik zijnde verwerkingen. Het is volgens mij enkel op basis van een dergelijke inventarisatie en analyse, dat een begin gemaakt kan worden met aantoonbare GDPR-compliance.
Een gedegen register van verwerkingen stelt je in staat de juiste inhoud te geven aan de verplicht op te stellen privacyverklaringen en verwerkingsovereenkomsten. Het stelt je ook in staat om een deugdelijk antwoord te geven op de vraag of je (op grond van art. 36 GDPR) alsnog in overleg moet treden met de Autoriteit Persoonsgegevens, omdat je wellicht een verwerking hebt die een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (betrokkenen).
Ik zou in deze nog een stap verder willen gaan door te stellen dat, wil je als organisatie op termijn daadwerkelijk privacy accountable worden en vooral blijven, je moet kiezen voor het hanteren van een Plan, Do, Check, Action-achtige methodiek, gericht op het chronologisch benoemen van:
- de eigen organisatiestructuur;
- de van toepassing zijnde privacy wet- en regelgeving (naast de GDPR);
- de in gebruik zijnde verwerkingen;
- het te hanteren privacybeleid;
- de te activeren privacy-activiteiten;
- de bij de realisatie daarvan te betrekken functies/personen (het privacy team);
- de voor accountability op te voeren bewijsmiddelen;
- de wijze waarop de accountability zal worden gecontroleerd.
Een dergelijke methodiek zorgt ervoor dat het uitvoeren van privacy-activiteiten een ingebed onderdeel wordt van de eigen bedrijfsprocessen.
Meer weten, neem met mij contact op!