Norm PR.05 DPIA’s
Waarom is dit nodig?
Om persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. adequaat te beschermen moet je verplicht een DPIADPIA is Data Protection Impact Assessment. In het Nederlands heet het gegevensbeschermingseffectbeoordeling. Met een DPIA onderzoek je wat het effect op de privacy van de betrokkenen is bij het verwerken van persoonsgegevens. uitvoeren voor verwerkingen die een hoog risico kunnen opleveren voor de privacy van betrokkenenDe personen van wie persoonsgegevens worden verwerkt.. Met een DPIA breng je risico’s in kaart en neem je passende maatregelen om deze te verminderen. Zo verklein je de kans op ongeautoriseerde toegang, openbaarmaking van gevoelige informatie en onrechtmatige verwerking.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen formele procedure vastgesteld voor het uitvoeren van DPIA’s op nieuwe en sterk gewijzigde verwerkingen die mogelijk een hoog risico inhouden.
- De FGIemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG). wordt (nog) niet betrokken of om advies gevraagd bij het uitvoeren van DPIA’s.
2 Herhaalbaar
- Er is een procedure voor het uitvoeren van DPIA’s, maar deze wordt niet altijd of niet organisatiebreed toegepast op nieuwe en gewijzigde verwerkingen die mogelijk een hoog risico inhouden.
- DPIA-rapporten worden wel opgesteld, maar voldoen niet altijd aan de wettelijke vereisten.
- Niet alle hoogrisicoverwerkingen zijn onderworpen aan een DPIA.
- De FG wordt betrokken, maar het beslissingsproces over het afwijken van het advies van de FG is niet systematisch gedocumenteerd en is persoonsafhankelijk.
3 Bepaald (streefniveau)
- Er is een vaste methode voor het uitvoeren van DPIA’s, en die wordt toegepast op alle nieuwe en sterk gewijzigde verwerkingen die mogelijk een hoog risico inhouden.
- Er is een procedure vastgesteld voor het opvolgen (behandelen of accepteren) van risico’s die in een DPIA zijn geïdentificeerd.
- DPIA-rapporten worden opgesteld volgens een gestandaardiseerd format dat voldoet aan de wettelijke vereisten.
- Alle hoogrisicoverwerkingen zijn onderworpen aan een DPIA.
- Er is een standaardprocedure voor het documenteren van afwijkingen van het advies van de FG. Deze procedure wordt consequent gevolgd.
- De DPIA-rapportages zijn makkelijk vindbaar.
4 Beheerst
Aanvullend op niveau 3:
- Het uitvoeren van DPIA’s en het opvolgen (behandelen of accepteren) van risico’s die in een DPIA zijn geïdentificeerd, maakt onderdeel uit van een (organisatiebreed) risicobeheerkader.
- DPIA’s worden minstens elke 36 maanden opnieuw beoordeeld.
- Er is vastgelegd wie mag besluiten dat er van het FG-advies mag worden afgeweken, en deze (tijdelijke) afwijkingen worden actief gemonitord.
- In gevallen waar een geïdentificeerd risico niet gemitigeerd of geaccepteerd wordt, wordt dit expliciet gedocumenteerd en uitgelegd.
- Er is een overzicht van en inzicht in de uitgevoerde DPIA’s, inclusief de data waarop deze zijn uitgevoerd of herzien.
- Periodiek wordt de effectiviteit van de DPIA-procedure geëvalueerd om continue verbetering te bevorderen.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Er is actieve betrokkenheid van het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. bij het DPIA-proces, vooral wanneer er wordt afgeweken van het advies van de FG.
- De organisatie heeft periodiek overleg met andere organisaties en/of andere samenwerkingsverbanden om te leren van elkaars DPIA’s en (de effectiviteit van) mitigerende maatregelen, met name bij soortgelijke verwerkingen.
- De organisatie heeft de effectiviteit en efficiëntie van haar DPIA-proces geoptimaliseerd, bijvoorbeeld door gebruik te maken van automatisering of geavanceerde tools.
- Bij de overdracht van een project, worden de DPIA en eventuele openstaande maatregelen in acht genomen. Ook wordt er actief naar risico’s in de DPIA gevraagd door de betrokken projectmanagementteams.
Voorbeelddocumenten
Gerelateerde wetten en normen
Norm PR.05 DPIA’s is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).