Dee-pi-ja

KennisBite #34 | 05 oktober 2021
DPIA
Presentatie: Tobias van Oerle (M&I/Partners) en Noortje van Mierlo (Thuisvester)

Gegevens, data, vroeger hadden we er letterlijk bakken vol mee. Ik denk terug aan mijn eigen fysieke met de hand ingevulde ‘adressenboekje’ waar ik ook verjaardagen, geboortes van (klein)kinderen enzovoort in kantlijnen bijschreef om mijn klanten zo persoonlijk mogelijk te kunnen benaderen. Nu er zoveel gedigitaliseerd is, systemen moeiteloos data uitwisselen, data intern gebruikt wordt voor rapportages moeten we ons meer en meer bewust worden dat we dat vooral ook veilig doen. Want onze persoonlijke gegevens zijn vandaag de dag veel geld waard en als individu heb je dan ook recht op bescherming van jouw gegevens. Om de privacyrisico’s in kaart te brengen van de door jouw organisatie verzamelde, gebruikte en opgeslagen persoonsgegevens voer je een DPIA uit. Een wat …? een dee-pi-ja. Hieronder lees je er meer over.

Tobias van Oerle en Noortje van Mierlo loodsen ons door de soms droge kost rondom DPIA’s heen. Tobias werkt bij M&I/Partners, deze organisatie kennen we van de ICT benchmark woningcorporaties die ze al 20 jaar doen in onze sector.
Noortje, werkt als programmamanager kwaliteit & verbetering bij Thuisvester. Aldaar willen ze graag een data lake* opstarten, oftewel een meer aan data aanleggen. Hiervoor werd een DPIA nodig geacht om veilig met zo’n lake te kunnen werken. Het lake wordt ingezet voor dashboarding (Power BI).
Wat een DPIA, data protection impact assessment = gegevensbeschermings-effect-beoordeling, nou precies is, staat in de presentatie die beschikbaar is gesteld aan de leden van CorpoNet. Is het al genoegzaam bekend? Na inloggen kom je in de ‘mijn account’ omgeving, in de linker kolom onderaan klikken op Overige downloads.
De algemene theorie rondom een DPIA wordt hier duidelijk geschetst, inclusief de theorie van wat erin moet zitten volgens artikel 35 van de AVG en een schema wanneer WEL/NIET een DPIA uitgevoerd moet worden.

Een deelnemer vraagt naar aanleiding hiervan: Wanneer doe je een DPIA, in de zin van de planning/moment: voor of tijdens een project?
Tobias: Eigenlijk geldt hoe eerder, hoe beter, maar omdat een DPIA best tijd kost is het wellicht tijdsverspilling om een heel onderzoek te doen terwijl het niet zeker is of het project werkelijk van start gaat. Dus als het project een ‘go’ heeft en er duidelijkheid is over het proces, maar nog niet alles ingericht is; dat is wat Tobias betreft het ideale moment. Maar als het project al draait kan het eventueel ook nog. Denk aan de inwerkingtreding van de AVG (mei 2018) toen waren er allerlei processen operationeel waar nooit naar gekeken is en die met de nieuwe AVG-bril achteraf wellicht toch toetsing vereisen.
Een ander deelnemer laat via de chat dit weten: Wij doen het vooraf om het resultaat mee te nemen in de besluitvorming.
Een ander praktisch aspect wat nu naar boven komt is dat een DPIA gaandeweg ook aangepast kan worden. Tobias vertelt dat hij bijvoorbeeld bij de start van een project een DPIA doet, dan weten we namelijk wat de te verwachten risico’s zijn, maar in de praktijk na zeg 3-6 maanden pak je zo’n DPIA erbij en kijk je naar de risico’s die je bij aanvang verwachtte, wat zijn de maatregelen die we getroffen hebben en wat speelt er zich daadwerkelijk in de praktijk af. Want in theorie kun je dingen bedenken, die in de praktijk toch weer anders uitwerken. Mooie tip, dank Tobias. Want privacy en de bescherming ervan is niet even een vinkje geven, maar blijvende aandacht, intrinsiek vanuit de organisatie is daarbij van belang. Zo’n herijking van je DPIA of alsnog een DPIA uitvoeren op processen die (allang) draaien bepaal je als organisatie zelf.

Vervolgens komt er een hele mooie vraag van de informatie analist van HaagWonen: We werken natuurlijk allemaal volgens CORA, de referentieprocessen. Zijn er niet voor alle inmiddels beschreven processen DPIA’s gemaakt, of zouden die met vereende krachten kunnen worden opgesteld? Zodat er een leidraad is, een referentiekader dus.
Tobias: Dat is zeker mogelijk en M&I/Partners heeft dat ook wel gedaan voor de zorg en de overheid. Maar alsnog blijft er werk voor de interne organisatie om de specifieke elementen eruit te lichten. Maar de grote lijnen, hoofdstappen kunnen zeker gestandaardiseerd worden tot een referentie DPIA.
Dat zou inderdaad mooi zijn om daar gezamenlijk goed naar te kijken, want zo vertelt de vraagsteller: vraag je dezelfde set vragen aan de een of de andere leidinggevende, dan komt er niet dezelfde inschatting aan risico’s uit. Dat vraagt om een standaard…. goede input van onze deelnemers!

Vervolgens zoomt Tobias in op de aanpak van M&I/Partners, raadpleeg hiervoor weer de presentatie en het wordt je duidelijk.
En op de website van M&I/Partners vind je een stappenplan wat op hoofdlijnen aangeeft welke activiteiten je tenminste moet uitvoeren.

Noortje neemt het woord en geeft aan dat zij zich door de DPIA met Tobias uit te voeren zich een stuk bewuster werd van de privacy gevoeligheid van data. Komend vanuit de IT zou je verwachten dat zulk bewustzijn er was geeft ze zelf aan, maar dat was niet echt het geval.
Heel eerlijk Noortje, dank daarvoor en we zouden ons kunnen voorstellen dat dit bij meerdere corporaties zo is. Daarom is delen met elkaar zo belangrijk, niet alleen de goede dingen maar ook de twijfels, de vragen, de dingen die misgingen en de kennis die we vervolgens hebben opgedaan.
Met name de geordende aanpak en het geboekte resultaat van de DPIA onder leiding van Tobias maakte Noortje enthousiast. Je ziet meer hierover terug in de presentatie.
Ook het meenemen van de werknemers van de processen (bijv. medewerker I&A, de data analist) is belangrijk en verhoogd bewustzijn van de organisatie als geheel.

Naar aanleiding van het verhaal van Noortje, ontstaat bij de deelnemers ook bewustwording waar vragen en ervaringen uit naar voren komen.

Zo is er bij een deelnemer verwarring waar Thuisvester nou precies een DPIA op heeft gedaan. Want als de data ‘binnenshuis’ blijft is zo’n DPIA dan wel nodig? Noortje legt uit dat het data lake in de cloud staat en de partij waar Thuisvester voor koos CNS kan er ook bij. En met het oude denken van ‘gooi alles er maar in, dan zien we later wel of het nodig is of niet’ kom je nu niet meer weg.
Tobias geeft overigens aan dat de organisatiegrens geen bepalende factor voor een DPIA is. De AP zegt bijvoorbeeld dat als je financiële gegevens van iemand verwerkt in een proces, dat een proces is waar een DPIA op gedaan moet worden. Ongeacht waar die gegevens heengaan. Ah! het wordt gesnapt: dus ook op de salarisadministratie van eigen personeel ..? Ja!

Een ander zegt: ‘Wij doen DPIA’s niet zozeer op een proces, maar wel als er een verandering in het architectuur landschap wordt aangebracht. Dus als er een nieuw applicatie wordt toegevoegd (of ter vervanging) voeren we een DPIA uit. Eerst de verkorte versie om te kijken of het ook echt nodig is en dan volgt de echte en dus uitgebreide versie. Dus wij doen het niet op een proceswijziging.’

Weer iemand anders vraagt zich af of er vanuit power bi rapportages überhaupt wel data terug te leiden is tot personen? En zo ontstaat even een levendige discussie.
Tobias rond af met ‘Hoewel een DPIA verplicht is (zoals beschreven in deze KennisBite) gaat het vooral om het beter willen beschermen van persoonsgegevens.’ Laten we daar met elkaar in onze sector op inzetten.

*
Wat wil dat nou zeggen data lake? De verzamelde data vanuit allerlei bronnen wordt hier in de ruwe vorm in opgeslagen. Gebruikers kunnen erin duiken of eruit halen wat nodig is, de inhoud is nog ongezuiverd, ruw en in de originele vorm. Het verschil met een datawarehouse is dan dus de kwaliteit van de opgeslagen data. Of het een goed plan is zo’n data lake, vraag het elkaar!

 

Zoeken

Meest recente verslagen

Meld je aan voor de Blik op de agenda

We sturen je maandelijks een overzicht van de nieuw ingeplande KennisBites. Zo mis je niks!