Norm PR.04 Identificatie risico’s gegevensverwerking met behulp van pre-DPIA’s
Waarom is dit nodig?
Het systematisch beoordelen en identificeren van risico’s bij nieuwe of gewijzigde gegevensverwerkingen bevordert de privacybescherming van betrokkenenDe personen van wie persoonsgegevens worden verwerkt.. Een pre-DPIA helpt je om in te schatten of een verwerking een hoog risico kan opleveren voor de privacy van betrokkenen en dit eenvoudig en gemotiveerd vast te leggen. Wanneer blijkt dat er waarschijnlijk sprake is van een hoog risico, voer je een volledige DPIADPIA is Data Protection Impact Assessment. In het Nederlands heet het gegevensbeschermingseffectbeoordeling. Met een DPIA onderzoek je wat het effect op de privacy van de betrokkenen is bij het verwerken van persoonsgegevens. uit.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen procedure of methode (zoals een pre-DPIA) om te bepalen of nieuwe of gewijzigde gegevensverwerkingen een hoog risico kunnen vormen voor de privacy van betrokkenen.
- Er is geen systematische beoordeling van alle verwerkingen om te bepalen of deze een hoog risico kunnen opleveren.
2 Herhaalbaar
- Er is een informele procedure voor alle nieuwe en gewijzigde verwerkingen voor het identificeren van hoogrisicoverwerkingen, maar deze wordt niet consequent toegepast of is onvolledig.
- Niet alle verwerkingen zijn beoordeeld op een mogelijk hoog risico.
- De risicoanalyseHet analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan. die ten grondslagDe (wettelijke) basis waarop je persoonsgegevens verwerkt. Er zijn 6 mogelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang. ligt aan de beslissing of een verwerking al dan niet een hoog risico kan opleveren, is niet gedocumenteerd en/of onvolledig.
3 Bepaald (streefniveau)
- Er is een methode/procedure vastgesteld om voor alle nieuwe en gewijzigde verwerkingen te bepalen of deze mogelijkerwijs een hoog risico inhouden voor de rechten en vrijheden van betrokkenen.
- De methode/procedure om te bepalen of nieuwe en gewijzigde verwerkingen mogelijk een hoog risico vormen voor de rechten en vrijheden van betrokkenen, wordt consequent toegepast.
- Alle verwerkingen zijn beoordeeld op mogelijk hoog risico en deze zijn als zodanig aangemerkt in het verwerkingsregister.
- De analyse die ten grondslag ligt aan de beslissing of een verwerking een hoog risico kan opleveren, is gedocumenteerd.
4 Beheerst
Aanvullend op niveau 3:
- Verwerkingen die waarschijnlijk een hoog risico inhouden, worden proactief geïdentificeerd en beheerd.
- De procedure voor het identificeren van hoogrisicoverwerkingen wordt periodiek geëvalueerd en zo nodig verbeterd.
- De analyse en documentatie van het besluit of een verwerking een hoog risico kan opleveren, is gemakkelijk te vinden en toegankelijk.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Het identificeren van hoog risicoverwerkingen is volledig geïntegreerd in de operationele processen van de organisatie.
- Er is een cultuur van voortdurende risicobeoordeling waarbij alle verwerkingen consequent worden beoordeeld op een mogelijk hoog risico en dit wordt aantoonbaar vastgelegd (in het verwerkingsregister).
- De documentatie van de analyse en het besluit of een verwerking een hoog risico kan opleveren, is volledig, makkelijk vindbaar, transparant en wordt gezien als een krachtig hulpmiddel binnen de organisatie.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Stel een procedure vast om voor alle nieuwe en gewijzigde verwerkingen te bepalen of deze een hoog risico kunnen inhouden voor de privacy van betrokkenen. Pas deze procedure consequent toe.
- Beoordeel per verwerking of er een hoog risico is en geef dit vervolgens duidelijk aan in het verwerkingsregister.
Hulpmiddelen
Gerelateerde wetten en normen
Norm PR.04 Identificatie risico’s gegevensverwerking met behulp van pre-DPIA’s is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).