Ga naar de inhoud

Data Protection Impact Assessment (DPIA), methode en technieken

Voor het onderkennen van risicogebieden waar DPIA’s uitgevoerd zouden moeten worden is overzicht en inzicht nodig in de verwerkingen waarvoor de verwerkingsverantwoordelijke verantwoordelijk is. Het is essentieel dat een verwerkingsverantwoordelijke beschikt over een Privacy-, Security en Compliance-administratie (PSCa) waarin een risicoregister is opgenomen. Zie “Privacy, Security and Compliance accounting” voor nadere informatie.

De compliance manager bereidt DPIA’s voor en plant het uitvoeren. De bevindingen en conclusies neemt de compliance manager op in de PSCa. De impact van afgeronde DPIA’s bespreekt de compliance manager met de bedrijfsleiding, het management en de FG.

Als gevolg van bevindingen uit interne compliance-maatregelen, incidenten en datalekken kan de compliance manager in overleg met de FG besluiten incidentele DPIA’s voor te bereiden, uit te voeren en de bevindingen opnemen in het risicoregister.

De uitkomsten van een DPIA kan een verhoogd risico voor de vrijheden en het kunnen uitoefenen van de rechten van de betrokkene inhouden. Als de verwerkingsverantwoordelijke geen andere of aanvullende maatregelen treft raadpleegt zij de toezichthoudende autoriteit (zie artikel 36 AVG).

Introductie van de docenten:

Category:

Gegevensbeschermingseffectbeoordeling of Data Protection Impact Assessement (DPIA), artikel 35 AVG, voert een verwerkingsverantwoordelijke uit als een verwerking waarschijnlijk een hoog risico inhoudt voor het uitoefenen van de rechten en vrijheden van natuurlijke personen. De aanleiding kan het risicoregister zijn die voor bepaalde verwerkingen verhoogde risico’s voor de bescherming van persoonsgegevens laat zien of introducties van nieuwe beheers-, beveiligings-, en compliance-maatregelen of ondersteunende IT-systemen.

De DPIA schat de impact van een (verhoogd) risico op het kunnen uitoefenen van regie over eigen gegevens in (de vrijheden). De DPIA schat ook de impact voor de betrokkene in de rechten uit de AVG uit te oefenen.

De verwerkingsverantwoordelijke, in samenwerking met de compliance manager, vraagt de FG te adviseren over het uitvoeren van DPIA’s en ook de aard en omvang van de onderzoeken.

De wet schrijft verplichte DPIA’s op verwerkingen voor en de toezichthouder kan de lijst met verplichte DPIA’s uitbreiden. Zie voor meer informatie de cursus “Jurisprudentie, besluiten en richtsnoeren”.

Er bestaat een omvangrijk juridische kader met guidelines van de Europese toezichthouders. Hiernaast is de organisatie van het uitvoeren van DPIA’s een professionele bezigheid. Het plannen van DPIA’s vindt integraal en in samenhang met andere verwerkingen plaats. De bevindingen van de DPIA’s neemt de compliance manager op in het risicoregister waarin de samenhang tussen de verwerkingen zichtbaar is. In de cursus belichten wij de samenhang.

In de AVG noemt de wetgever expliciet de rol van de FG bij het uitvoeren van DPIA’s.

Doelgroep

De bedrijfsleiding en het management begrijpen de noodzaak van het uitvoeren van DPIA’s, het verwerken van de bevindingen in een risicoregister en indien nodig treffen van aanvullende of nieuwe beheers-, beveiligings-, en compliance-maatregelen gericht op het effectief beschermen van persoonsgegevens. Het risicoregister, dat onderdeel is van de PSCa, vormt de basis voor rapportages.

Het management en de medewerkers zijn bewust van de noodzaak van het uitvoeren van DPIA’s. De compliance-manager bereid de DPIA’s voor en plant het uitvoeren van de DPIA’s. De bevindingen van de DPIA’s neemt de compliance-manager op in het PSCa. De FG adviseert en bij organisaties met een bescheiden omvang voert de FG DPIA’s uit.

Doelen

Wij bespreken het wettelijke kader DPIA’s met de cursisten, in het bijzonder de artikelen 35 en 36 AVG. De guidelines van de European Data Protection Board (EDPB) geven een uitleg van de wet door de toezichthouders. Er is een groeiende verzameling van artikelen over het toepassen van DPIA’s. De centrale vraag is waarom het voor een verwerkingsverantwoordelijke nodig is om DPIA’s uit te uitvoeren.

Een essentiële vervolgvraag is wat de doelstelling van een DPIA is, hoe een DPIA te organiseren en welke eisen een verwerkingsverantwoordelijke stelt aan een compliance-medewerker die belast is met het uitvoeren van de DPIA.

Er zijn door verschillende gremia plannen van aanpak en normenkaders ontwikkeld die gebruikt worden bij het uitvoeren van DPIA’s. Wij behandelen een aantal van deze aanpakken en bespreken de voor- en nadelen. De aanpakken geven de compliance-medewerker voorbeelden voor het ontwikkelen van eigen gereedschap DPIA’s uit te voeren.

Het organiseren van het jaarlijkse DPIA-plan is een uitdaging omdat:

  • Het risicoregister dynamisch is en gedurende het jaar aanleidingen kunnen ontstaan om DPIA’s uit te voeren;
  • Het voorbereiden, het plannen, het uitvoeren, het bespreken van de bevindingen en impact op de vrijheden van en kunnen uitoefenen van rechten door betrokkenen kan de nodige tijd en inspanningen vergen;
  • Het uitvoeren van een DPIA geeft de bedrijfsleiding en het management een aanleiding beter passende beheers-, beveiligings-, en compliance-maatregelen te treffen. Deze activiteiten geven vervolgens weer aanleiding voor het uitvoeren van volgende DPIA’s;
  • Het vastleggen van bevindingen en conclusies van uitgevoerde DPIA’s in het risicoregister van de PSCa kan een impact hebben op de effectiviteit van het beschermen van persoonsgegevens in andere verwerkingen.

De DPIA is een instrument om een uit te voeren assessment op verwerkingen en vast te stellen dat de persoonsgegevens effectief zijn beschermd. De verscheidenheid van verwerkingen van persoonsgegevens is omvangrijk en vraagt steeds maatwerk bij het voorbereiden en plannen van de DPIA’s.

Wij bereiden graag casussituaties van deelnemers aan de cursus voor en bespreken mogelijke oplossingen tijdens de workshop.

Cursuscategorie Assessment & Audit

Het voorbereiden en plannen van een DPIA-plan is een fase in de informatie lifecycle phase van persoonsgegeven in een verwerking. Het vastleggen van de stappen en resultaten van het uitvoeren van DPIA’s in een PSCa geeft een indruk van de effectiviteit van het beschermen van (persoons)gegevens. Het is een aanvulling op de compliance-informatie die voortvloeit uit beheers-, beveiligings-, en compliance-maatregelen en de vastgestelde incidenten en datalekken.

Organisatie van de opleiding

Vanuit uw persoonlijke leeromgeving heeft u toegang tot deze cursus. Ervaren FGs met toereikende IT en bedrijfskennis verzorgen deze cursus. Zij verzorgen het programma assessment & audit en adviseren u ingebrachte stukken te bestuderen voordat u deelneemt aan de workshop. In de cursus zijn diagnostische toetsen opgesteld waarmee u uw kennisniveau kunt testen. In de workshop behandelt de docent een aantal casussituatie waarin uw bijdrage gewenst is. U heeft de gelegenheid vraagstukken uit de praktijk aan de docent voor te leggen.

Na het volgen van de workshop bereidt de docent tentamenvragen voor die u vanuit uw leeromgeving kunt uitwerken en aan de docent aanbiedt.

Na het succesvol afronden van het tentamen blijft de cursus voor u beschikbaar. De docenten onderhouden de cursus en het staat u vrij hiervan kennis te nemen. Het is aan te bevelen om de twee jaar de workshop bij de cursus opnieuw te volgen.

De docenten

De docenten hebben een bedrijfskundige, juridische en IT-achtergrond, voldoende kennis van het brede veld van het beschermen van persoonsgegevens en hebben ervaringen met het beschermen van persoonsgegevens bij bedrijven en instellingen (adviseren, vervullen van de rol van FG en of bijstaan van bedrijven in rechtszaken of uitvoeren van onderzoeken door de toezichthouder).

Aanmelding en investering

Duthler Academy biedt een cursist een persoonlijke leeromgeving op de bedrijfsspecifieke leeromgeving aan waarin de het programma opleiding functionaris voor gegevensbescherming toegankelijk is (cursist kan ook kiezen voor een persoonlijke leeromgeving van de leeromgeving van Duthler Academy).

De zelfstudie duurt ongeveer 16 uur en het uitvoeren van een diagnostische toets 2 uur. Het volgen van de workshop is 4 uur op onze locatie. De cursus is van 10:00 tot 14:00 en het tentamen is 2 – 4 uur. Aantal PE-punten: 4.

Neem contact op met de servicedesk als u vragen heeft. Ga naar het overzicht met de programma’s en categorieën van cursussen.