Data Protection Impact Assessment

Sinds 25 mei 2018 is de Europese privacy-verordening Algemene Verordening Gegevensbescherming (AVG) ingegaan. Afhankelijk van of de te verwerken gegevens binnen de gestelde criteria vallen kunt u op basis van de AVG verplicht zijn een DPIA uit te voeren. Ook als uw organisatie niet DPIA-plichtig is, is het verstandig een DPIA uit te voeren gezien het gedegen uitvoeren van de DPIA direct de mate, het bewustzijn en de omgang met persoonsgegevens blootlegt. 

De AVG schrijft voor dat u als verwerkingsverantwoordelijke de impact van een (voorgenomen) verwerking moet toetsen als deze (voorgenomen) verwerking een verhoogd risico vormt voor betrokkene(n). De AVG schrijft (helaas) niet voor wat precies een verhoogd risico is. Voor het beoordelen van het verhoogde risico kan men de volgende punten in acht nemen: 

  • Worden er voor de verwerking van de persoonsgegevens nieuwe technologieën gebruikt?
  • Wat is de aard van de verwerking? 
  • Wat is de omvang (duur, aantal verschillende gegevens, aantal betrokkenen) van de verwerking? 
  • Wat is de context van de verwerking? 
  • Wat is het doel van de verwerking? 

Aan de hand van deze factoren dient men zelf een afweging te maken of de (voorgenomen) verwerking een verhoogd risico voor de rechten van de betrokkene(n) vormt. Als dit het geval is dient de (voorgenomen) verwerking te worden onderworpen aan een DPIA. 

In de volgende gevallen is een DPIA in ieder geval verplicht: 

  • Bij een geautomatiseerd verwerkingsproces, waaronder profilering, waarop besluiten worden gebaseerd die een rechtsgevolg (of een vergelijkbaar gevolg) kunnen hebben voor betrokkene(n). Hierbij kunt u denken aan bijvoorbeeld een gemeente die op basis van een geautomatiseerd proces bepaalt of een betrokkene recht heeft op huurtoeslag. 
  • Bij grootschalige verwerking van bijzondere persoonsgegevens of strafrechtelijke gegevens. 
  •  Bij stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. 

KeDo: Een low code-applicatie platform 

KeDo is een low-code applicatie waarmee op eenvoudige wijze maatwerk configuraties ten behoeve van registratie kunnen worden gemaakt. Opdrachtgevers kunnen op deze wijze uiteenlopende werkprocessen met de verschillende gewenste velden in KeDo als maatwerk applicatie aangeboden krijgen. Alhoewel de mogelijkheden ten behoeve van bijvoorbeeld het aanmaken van de verschillende werkprocessen, de velden, autorisatie(s) en beveiliging generiek is, is de manier waarop KeDo wordt geconfigureerd voor individuele opdrachtgevers (bijna) altijd maatwerk. Dat wil zeggen dat verschillende opdrachtgevers (bijna) altijd een voor de organisatie specifieke KeDo configuratie krijgen waarin velden kunnen verschillen van andere opdrachtgevers maar ook bijvoorbeeld de autorisatiestructuur. Daarnaast maakt de opdrachtgever een eigen afweging voor wat betreft de classificatie van de in te voeren gegevens en dient opdrachtgever de verantwoordelijkheden voor wat betreft het borgen van een correcte invoer, het gebruik en de beveiliging van de in te voeren gegevens (intern of extern) gedegen te beleggen. Dit overziend is het voor Xlab Cloud Services niet mogelijk om een generieke DPIA voor KeDo en al haar opdrachtgevers uit te voeren. Individuele opdrachtgevers zijn verantwoordelijk voor het al dan niet uitvoeren van de DPIA.  

Ondersteuning en uitvoeren DPIA 

Wanneer een opdrachtgever behoefte heeft aan ondersteuning bij het uitvoeren van de DPIA dan ondersteunt Xlab Cloud Services daar uiteraard bij. Voor wat betreft de (technische) beveiliging van de KeDo applicatie en/of KeDo generieke zaken zoals interne processen van Xlab Cloud Services is deze ondersteuning kosteloos en hiervoor is (standaard) documentatie beschikbaar. 

Xlab Cloud Services kan u daarnaast volledig ontzorgen in het volledig uitvoeren van de DPIA. In een aantal dagdelen zullen wij de risico’s die betrekking hebben op de gegevensverwerking in kaart brengen en u een volledig beeld geven van de privacy risico’s die spelen. Deze risico’s worden geëvalueerd op kans van voorkomen en de impact op de organisatie wanneer een risico zich ook daadwerkelijk zou manifesteren. De verzamelde input wordt verwerkt in een analyse en deze analyse is de basis voor eventuele te voeren gesprek(ken) inzake de geïdentificeerde risico’s. Dit gesprek wordt gevoerd met de betrokkenen in de organisatie en onder begeleiding van een security expert. De risico’s worden toegewezen aan risico-eigenaren en actiehouders. Dit kan zowel intern als extern belegd worden. Op deze wijze kunnen in dit gesprek tevens direct de eventuele te nemen maatregelen besproken en verwerkt worden. 

Kosten 

Voor het uitvoeren van de DPIA hanteert een standaard eenmalig vast tarief van EUR 2.000. Hiervoor wordt het traject onder begeleiding van een specialist uitgevoerd en het resultaat is een complete rapportage met eventuele tekortkomingen en verbetertrajecten. Mocht de organisatie met ketenpartner(s) in KeDo werken kunnen deze een eigen DPIA rapportage met voor de eigen organisatie relevante gegevenskwalificatie(s) en risico’s laten uitvoeren voor een standaard eenmalig vast tarief van EUR 1.000 per ketenpartner. 

Niet KeDo gerelateerde DPIA: Uiteraard ondersteunen wij opdrachtgevers ook graag bij het uitvoeren van de DPIA bij gegevensverwerking buiten KeDo om. Bel ons om de mogelijkheden te bespreken.