Informatiebeveiliging

Nieuwe handreiking voor het uitvoeren van een DPIA.

De NOREA, de beroepsorganisatie van IT-Auditors, heeft een nieuwe handreiking voor het uitvoeren van een Data Protection Impact Assessment (DPIA) gepubliceerd Onder de Algemene verordening gegevensbescherming (AVG) kunnen organisaties verplicht zijn een Data Protection Impact Assessment (DPIA) uit te voeren.

Een DPIA is een instrument om de gegevensverwerking te beschrijven, de rechtmatigheid van de verwerking te beoordelen, de risico’s ervan vast te stellen en vervolgens maatregelen te bepalen om de mogelijke negatieve gevolgen te voorkomen of te verlagen tot een aanvaardbaar niveau. Het uitvoeren van een DPIA kan hierdoor best complex zijn. De NOREA heeft een nieuwe handreiking voor het uitvoeren van een DPIA gepubliceerd als opvolging van de PIA-handreiking zoals zij hebben uitgegeven in november 2015. Een goed moment om even in dit onderwerp te duiken!

Wie voert de DPIA uit?

Een DPIA wordt bij voorkeur uitgevoerd door een multidisciplinair team van medewerkers omdat privacy een multidisciplinaire insteek behoeft. De resultaten van de DPIA worden bij een team beter dan wanneer de DPIA door één persoon wordt uitgevoerd doordat de verschillende deelnemers vanuit hun eigen invalshoek het project bekijken. Hierbij kan worden gedacht aan de opdrachtgever en de opdrachtnemer van het project en de inhoudelijk deskundigen (project, privacy, techniek, informatiebeveiliging, juridisch, organisatorisch, risicomanagement, data analytics). Hiermee is het uitvoeren van een DPIA dan ook niet de verantwoordelijkheid van de Functionaris gegevensbescherming, maar een analyse waarbij meerdere facetten van een organisatie betrokken dienen te worden. De auditoren van Avensus kunnen hierbij ondersteunen door mee te denken in de risico’s op het gebied van privacy, informatiebeveiliging, risicomanagement en/of overige organisatorische aspecten.

Maar ik voer toch al risicoanalyses uit op gebied van informatiebeveiliging?

Privacy en informatiebeveiliging zijn niet los van elkaar te zien, maar overlappen elkaar ook niet volledig. Informatiebeveiliging gaat over de bescherming van alle soorten gegevens tegen onbedoelde inzage, wijziging en verlies (Betrouwbaarheid, Integriteit en Beschikbaarheid). Bekende standaarden voor informatiebeveiliging zijn ISO 27001/27002 (algemeen toepasbaar), NEN 7510/7512/7513 voor de zorg en de BIO (Baseline Informatiebeveiliging Overheid) waaraan alle publieke organen moeten voldoen. Onderdeel van deze standaarden is het uitvoeren van een informatiebeveiligingsrisicoanalyse, een zogenaamde Security Risk Assessment (SRA). Privacy gaat  alleen over de bescherming van persoonsgegevens maar omvat daarentegen naast de informatiebeveiligingsaspecten onder andere ook vereisten ten aanzien van de rechtmatigheid van de verwerking en het nakomen van de rechten van de betrokkenen.

De nieuwe DPIA-handreiking van NOREA onderscheidt zich ten opzichte van de andere beschikbare DPIA-handreikingen op het gebied van risicomanagement voor de privacy-specifieke elementen. Zo bevat het model van de Rijksoverheid (Model Gegevensbeschermingseffectbeoordeling Rijksdienst (PIA)) slechts een beschrijving van de noodzakelijke risicoanalyse zonder duidelijke handvatten te geven. De NOREA beschrijft een concrete, praktische methode om de privacy-risico’s te beoordelen en te behandelen en sluit zich hierbij aan tot de ISO31000/31010. De ISO-standaard voor risicomanagement. 

Op welke wijze helpt de NOREA handreiking mij hierbij?

De nieuwe handreiking van de NOREA bestaat uit twee documenten:

  1. De NOREA Handreiking Data Protection Assessment, bestaande uit een introductie omtrent DPIA’s en een toelichting op de vragen uit het DPIA Raamwerk en enkele bijlagen;
  2. Het NOREA Data Protection Raamwerk, bestaande uit de te beantwoorden vragen, waarmee wordt voldaan aan de vereisten uit de AVG met betrekking tot de DPIA wat leidt tot een DPIA-rapportage.

Een goed uitgevoerde DPIA geeft inzicht in de risico’s die de beoogde verwerking oplevert voor de betrokkenen en in de maatregelen die de verantwoordelijke moet nemen om de risico’s af te dekken. Het is aan de verantwoordelijke zelf om die maatregelen ook daadwerkelijk te treffen (of eventueel een voorafgaande raadpleging bij de Autoriteit Persoonsgegevens (AP) aan te vragen). 

Het raamwerk bestaat uit vragen over de gegevensverwerking, de rechtmatigheid van de gegevensverwerking en de risico’s voor de rechten en vrijheden van natuurlijke personen t.a.v. deze verwerkingen. Daarnaast worden handvatten aangereikt om deze risico’s te kunnen aanpakken. In de vorige versie, de PIA handreiking van november 2015, waren dit veelal gesloten vragen. In deze nieuwe handreiking wordt veel meer gevraagd om een onderbouwde risicoanalyse uit te voeren door middel van open vragen. Hierdoor wordt getracht duidelijk te maken dat het uitvoeren van een DPIA een continu proces is en geen eenmalige activiteit. U moet altijd blijven monitoren of uw gegevensverwerking verandert. Bijvoorbeeld als u een nieuwe technologie gaat gebruiken of als u persoonsgegevens voor een ander doel gaat gebruiken. In deze situaties verandert uw gegevensverwerking feitelijk in een nieuwe gegevensverwerking en dan kan een DPIA verplicht zijn. Vanwege deze veranderingen is het aan te raden om periodiek een DPIA uit te voeren. Ook als de gegevensverwerking zelf niet is veranderd. De AP raadt aan om tenminste eenmaal per drie jaar een DPIA te herzien.

Wilt u meer weten over het uitvoeren van een DPIA, de ondersteuning die Avensus hierbij kan bieden of de overige manieren waarop Avensus bijdraagt aan het vertrouwen in het digitale tijdperk? Neem dan vrijblijvend contact met ons op! Bel 055-3010100, mail info@avensus.nl of neem een kijkje op onze website!

Meer weten?

Wij helpen je graag verder

+31 (0) 36 539 3100
info@avensus.nl

Gerelateerd

Menu