Conferentie Samenwerken aan Cyberveiligheid

DPIA’s, hoe pak je dat aan?

DPIA staat voor Data Protection Impact Assessment. Het is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. De organisatie kan dan maatregelen nemen om deze risico’s te verkleinen. Een DPIA is verplicht als je organisatie van plan is om persoonsgegevens te verwerken en dat waarschijnlijk een hoog privacyrisico oplevert. Vandaar dat we binnen het programma Cyberveiligheid mbo aandacht besteden aan de DPIA. Privacy Company voert namens MBO Digitaal meerdere sectorale DPIA’s uit. Maar hoe voer je eigenlijk zelf een goede DPIA uit? Arnold Roosendaal van Privacy Company en Niels Dutij van het programma geven in deze workshop tips & tricks.

Basisingrediënten van een goede DPIA

Arnold en Niels hebben op een rijtje gezet waaraan een goede DPIA voldoet. ‘Het begint allemaal bij de feiten’, vertellen ze. ‘Op basis daarvan maak je de analyse als het gaat om rechtmatigheid, risico’s en maatregelen. Belangrijk daarbij is dat je een actueel overzicht hebt van je leveranciers (en eventuele subverwerkers) en weet welke rol een leverancier heeft bij elke verwerking. Die data moet je vrij eenvoudig kunnen ophalen, want leveranciers hebben als verwerker de plicht om mee te werken aan een DPIA’. Ook breng je de keten in kaart: welke andere partijen – vo-scholen, gemeente, DUO, et cetera – maken daar deel vanuit en wat is hun rol? De keten bepaalt de scope en afbakening van de DPIA. ‘Belangrijk dus om echt alle partijen te benoemen!’

Het volgende ingrediënt voor een goede DPIA is gedegen technisch onderzoek naar logging, backups en cookies. ‘Je hoeft hiervoor geen techneut te zijn’, laten Arnold en Niels weten. ‘Het gaat er vooral om dat je de juiste vragen stelt.’ Ook belangrijk is om alle relevante contracten in het onderzoek mee te nemen. Staat alles juist beschreven? Geen open eindjes? ‘Slechte contracten kunnen ervoor zorgen dat een rol verandert en je dus de controle verliest!’, waarschuwen de presentatoren. Laatste onderdeel van de DPIA is het bedenken van maatregelen voor alle geïdentificeerde risico’s. ‘Maak daarvoor een plan’, tippen Arnold en Niels in de slotminuten van hun presentatie. Meer informatie over de DPIA kun je vinden op de site van het programma Cyberveiligheid mbo.

Contactpersoon

Neem contact op met Martijn Bijleveld voor meer informatie.