DPIA. Natasja Pieterman Strategisch adviseur AVG

Transcriptie

1 DPIA Natasja Pieterman Strategisch adviseur AVG

2 Even voorstellen..

3 De DPIA

4 De DPIA Een proces om: de verwerking van persoonsgegevens te beschrijven de noodzaak en evenredigheid te beoordelen de risico s in kaart te brengen en te beheren.

5 Waarom?

6 Werkt twee kanten op Voldoen Aantonen

7 Verplicht? Een gegevensbeschermingseffectbeoordeling is alleen verplicht als de verwerking "waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen" (artikel 35, lid 1)..

8 Wanneer een hoog risico? nieuwe technologie bijzondere persoonsgegevens gevoelige persoonsgegevens uitsluitend geautomatiseerde individuele beslissingen met rechtsgevolgen kwetsbare groep personen, zoals kinderen of uitkeringsgerechtigden systematische monitoring grootschalige verwerkingen het koppelen van bestanden doorgifte naar buiten de EER

9 Waar moet de DPIA aan voldoen? Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan. Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen. Een beoordeling van de privacyrisico's voor de betrokkenen. De beoogde maatregelen om de risico's aan te pakken en aan te tonen dat u aan de AVG voldoet.

10 Wanneer niet? Als het niet zo is dat de verwerking "waarschijnlijk een hoog risico inhoudt of als een vergelijkbare gegevensbeschermingseffectbeoordeling bestaat of als ze vóór mei 2018 is geautoriseerd of als ze een rechtsgrond heeft of als ze in de lijst staat van verwerkingen waarvoor geen gegevensbeschermingseffectbeoordeling is vereist.

11

12 De basis Laws and regulations Security policies Evaluate Risk analysis Risk management Monitor and enforce Measures Implement

13 De stappen Stap 1: Bepalen risico s Stap 2: Uitvoering Stap 3: Beperken risico s Stap 4: Borging/Continu verbeteren

14 De uitvoering Beschrijving verwerken en doelen Noodzaak en proportionaliteit Beoordeling risico s Beoogde maatregelen

15 Risico analyse Identificeer alle relevante bedreigingen Lijst bedreigingen Wat is de kans dat die bedreiging uitkomt? Wat is de impact als de bedreiging uitkomt? Risico = Kans x Impact Methodes om risico te bepalen Kwantitatief: gebruik historische data / schattingen en waardes voor meetbare waardes (zoals voor financiële impact) Kwalitief: professioneel oordeel, best practice, intuïtie, ervaring

16 Maatregelen: risico gebaseerde respons Verplaatsen Outsource activiteit Verzekeren activiteit Vermijden Beëindigen activiteit Vervangen activiteit Mitigeren Implementatie controle om risico te reduceren tot acceptabel Accepteren

17 De positieve punten Het voorkomen van aanpassingen achteraf in processen en het herontwerpen van projecten Verbeteren van de kwaliteit van data en dienstverlening Bijdragen aan awareness in de gemeente Betere transparantie

18 Delen 1 of meerdere verwerkingen per DPIA Mogelijk om te delen Gezamenlijke verantwoordelijkheid? Verplichten bepalen beide partijen Beleg rollen en verantwoordelijkheden (wie is verantwoordelijk voor welke maatregel)

19 Borging Cyclus van continu verbeteren Denk aan je verwerkingsregister Herhalen Uitvoeren Nieuw process/applicatie? Evaluatie

20 Rol FG Tijdig betekken Adviseren Awareness Gemotiveerd afwijken Contact met de AP Proportionaliteit Rechtmatigheid Subsidiariteit

21 Tips en trucs Blijf zicht houden op verschillende perspectieven Niet bij twijfel alles doen Betrek tijdig de FG Verantwoording keuzes (wel of niet DPIA en waarom) Maak de beoordeling onderdeel van je audit/compliance cyclus Leg een link met het verwerkingsregister

22 Tool IBD + Handige links Tool IBD:

23 Vragen? of