DPIA’s, hoe pak je dat aan?

Basisingrediënten van een goede DPIA

Arnold en Niels hebben op een rijtje gezet waaraan een goede DPIA voldoet. ‘Het begint allemaal bij de feiten’, vertellen ze. ‘Op basis daarvan maak je de analyse als het gaat om rechtmatigheid, risico’s en maatregelen. Belangrijk daarbij is dat je een actueel overzicht hebt van je leveranciers (en eventuele subverwerkers) en weet welke rol een leverancier heeft bij elke verwerking. Die data moet je vrij eenvoudig kunnen ophalen, want leveranciers hebben als verwerker de plicht om mee te werken aan een DPIA’. Ook breng je de keten in kaart: welke andere partijen – vo-scholen, gemeente, DUO, et cetera – maken daar deel vanuit en wat is hun rol? De keten bepaalt de scope en afbakening van de DPIA. ‘Belangrijk dus om echt alle partijen te benoemen!’

Het volgende ingrediënt voor een goede DPIA is gedegen technisch onderzoek naar logging, backups en cookies. ‘Je hoeft hiervoor geen techneut te zijn’, laten Arnold en Niels weten. ‘Het gaat er vooral om dat je de juiste vragen stelt.’ Ook belangrijk is om alle relevante contracten in het onderzoek mee te nemen. Staat alles juist beschreven? Geen open eindjes? ‘Slechte contracten kunnen ervoor zorgen dat een rol verandert en je dus de controle verliest!’, waarschuwen de presentatoren. Laatste onderdeel van de DPIA is het bedenken van maatregelen voor alle geïdentificeerde risico’s. ‘Maak daarvoor een plan’, tippen Arnold en Niels in de slotminuten van hun presentatie. Meer informatie over de DPIA kun je vinden op de site van het programma Cyberveiligheid mbo.