Home » Privacy » Domein 2: Processen » Norm PR.05

Norm PR.05 DPIA’s

Indien een verwerking is geïdentificeerd die een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen, wordt een DPIA uitgevoerd die aan de eisen van de AVG voldoet. De organisatie beheert de uitkomsten van DPIA's systematisch.

Waarom is dit nodig?

Om persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. adequaat te beschermen moet je verplicht een DPIADPIA is Data Protection Impact Assessment. In het Nederlands heet het gegevensbeschermingseffectbeoordeling. Met een DPIA onderzoek je wat het effect op de privacy van de betrokkenen is bij het verwerken van persoonsgegevens. uitvoeren voor verwerkingen die een hoog risico kunnen opleveren voor de privacy van betrokkenenDe personen van wie persoonsgegevens worden verwerkt.. Met een DPIA breng je risico’s in kaart en neem je passende maatregelen om deze te verminderen. Zo verklein je de kans op ongeautoriseerde toegang, openbaarmaking van gevoelige informatie en onrechtmatige verwerking.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Er is geen formele procedure vastgesteld voor het uitvoeren van DPIA’s op nieuwe en sterk gewijzigde verwerkingen die mogelijk een hoog risico inhouden.
De FGIemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG). wordt (nog) niet betrokken of om advies gevraagd bij het uitvoeren van DPIA’s.

2 Herhaalbaar

Er is een procedure voor het uitvoeren van DPIA’s, maar deze wordt niet altijd of niet organisatiebreed toegepast op nieuwe en gewijzigde verwerkingen die mogelijk een hoog risico inhouden.
DPIA-rapporten worden wel opgesteld, maar voldoen niet altijd aan de wettelijke vereisten.
Niet alle hoogrisicoverwerkingen zijn onderworpen aan een DPIA.
De FG wordt betrokken, maar het beslissingsproces over het afwijken van het advies van de FG is niet systematisch gedocumenteerd en is persoonsafhankelijk.

3 Bepaald (streefniveau)

Er is een vaste methode voor het uitvoeren van DPIA’s, en die wordt toegepast op alle nieuwe en sterk gewijzigde verwerkingen die mogelijk een hoog risico inhouden.
Er is een procedure vastgesteld voor het opvolgen (behandelen of accepteren) van risico’s die in een DPIA zijn geïdentificeerd.
DPIA-rapporten worden opgesteld volgens een gestandaardiseerd format dat voldoet aan de wettelijke vereisten.
Alle hoogrisicoverwerkingen zijn onderworpen aan een DPIA.
Er is een standaardprocedure voor het documenteren van afwijkingen van het advies van de FG. Deze procedure wordt consequent gevolgd.
De DPIA-rapportages zijn makkelijk vindbaar.

4 Beheerst

Aanvullend op niveau 3:

Het uitvoeren van DPIA’s en het opvolgen (behandelen of accepteren) van risico’s die in een DPIA zijn geïdentificeerd, maakt onderdeel uit van een (organisatiebreed) risicobeheerkader.
DPIA’s worden minstens elke 36 maanden opnieuw beoordeeld.
Er is vastgelegd wie mag besluiten dat er van het FG-advies mag worden afgeweken, en deze (tijdelijke) afwijkingen worden actief gemonitord.
In gevallen waar een geïdentificeerd risico niet gemitigeerd of geaccepteerd wordt, wordt dit expliciet gedocumenteerd en uitgelegd.
Er is een overzicht van en inzicht in de uitgevoerde DPIA’s, inclusief de data waarop deze zijn uitgevoerd of herzien.
Periodiek wordt de effectiviteit van de DPIA-procedure geëvalueerd om continue verbetering te bevorderen.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

Er is actieve betrokkenheid van het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. bij het DPIA-proces, vooral wanneer er wordt afgeweken van het advies van de FG.
De organisatie heeft periodiek overleg met andere organisaties en/of andere samenwerkingsverbanden om te leren van elkaars DPIA’s en (de effectiviteit van) mitigerende maatregelen, met name bij soortgelijke verwerkingen.
De organisatie heeft de effectiviteit en efficiëntie van haar DPIA-proces geoptimaliseerd, bijvoorbeeld door gebruik te maken van automatisering of geavanceerde tools.
Bij de overdracht van een project, worden de DPIA en eventuele openstaande maatregelen in acht genomen. Ook wordt er actief naar risico’s in de DPIA gevraagd door de betrokken projectmanagementteams.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

Stel een procedure vast voor het uitvoeren van DPIA’s.
Beschrijf in de procedure hoe de risico’s die in de DPIA zijn gevonden, worden opgevolgd (mitigeren of accepteren). Beschrijf ook dat afwijkingen van het advies van de FG worden gemotiveerd en geaccordeerd door het schoolbestuur.
Voer de procedure uit bij alle nieuwe en sterk gewijzigde verwerkingen die mogelijk een hoog risico inhouden.
Hanteer bij het uitvoeren van de DPIA een model dat in de onderwijssector wordt gebruikt en aan de wettelijke eisen voldoet.
Zorg ervoor dat de DPIA-rapportages intern makkelijk te raadplegen zijn.

Hulpmiddelen

Gerelateerde wetten en normen

Norm PR.05 DPIA’s is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).

AVG

Afdrukken