Hoe voer je een Data Privacy Impact Assessment (DPIA) uit?

Ga je als zorgprofessional werken met (persoons)gegevens? Dan is een DPIA waarschijnlijk verplicht. Het verwerken van deze (persoons)gegevens brengt immers privacyrisico’s voor de betrokkenen in kwestie met zich mee. Het doorlopen van een DPIA is een ingewikkeld proces. De AVG-Helpdesk biedt daarom een handig stappenplan aan. Dit stappenplan helpt je bij de uitvoering van een DPIA.

Een DPIA heeft als doel om privacyrisico’s in kaart te brengen. Met dit instrument bepaal en beoordeel je welke effecten het verwerken van de persoonsgegevens heeft op de privacy van de betrokkenen (patiënten, cliënten, medewerkers, vrijwilliger etc.). Zo kunnen vooraf maatregelen genomen worden om de privacyrisico’s te verkleinen.

Wanneer voer je een DPIA uit?

Een DPIA moet altijd worden uitgevoerd bij:

  • De ontwikkeling van beleid en regelgeving waarbij de verwerking van persoonsgegevens een rol spelen of waaruit verwerkingen van persoonsgegevens voortvloeien.
  • Voorgenomen verwerkingen van persoonsgegevens die waarschijnlijk een hoog privacyrisico voor de betrokkenen met zich meebrengt.

Een individuele zorgverlener, dus een natuurlijke persoon die beroepsmatig zorg verleent, is niet verplicht om een DPIA uit te voeren. Wanneer een DPIA precies noodzakelijk is, lees je op onze pagina: DPIA - Wanneer nodig?

Gaat u een DPIA opstellen? Volg dan onderstaand stappenplan. Dit stappenplan beschrijft stap voor stap het hele proces en geeft daar waar nodig extra uitleg. Klik hiervoor op de plusjes.

Uitleg van de nummers in de afbeelding

In kaart brengen gegevens

Beschrijf alle persoonsgegevens die worden verwerkt. Deel deze persoonsgegevens onder naar: gewoon, gevoelig, bijzonder, strafrechtelijk en wettelijk identificatienummer. Geef per categorie persoonsgegevens aan wie de betrokkenen zijn en vanuit welke bron de persoonsgegevens worden verzameld.

Betrokkenen

Betrokkenen zijn de personen van wie je gegevens verwerkt. Voorbeelden hiervan zijn: patiënten, cliënten, medewerkers, vrijwilligers, leden etc.

Context

Beantwoord de volgende vragen om de context, waarbinnen de gegevens worden verwerkt, in kaart te brengen.

  • In welke context wordt de verwerking uitgevoerd? Beschrijf het voorstel van gegevensverwerking waar de DPIA op toeziet op hoofdlijnen en benoem hoe dit tot stand is gekomen en wat de beweegredenen zijn achter de totstandkoming hiervan.
  • Wat is het doel van de verwerking?
  • Welke gegevens worden er van een patiënt verzameld?
  • Zijn de verzamelde gegevens noodzakelijk voor het proces?
  • Wie zijn er allemaal betrokken bij de gegevensverwerking? Wie heeft er toegang tot de gegevens?
  • Wat zijn de belangen van de betrokken partijen?
  • In welke landen vinden de gegevensverwerkingen plaats? Geef aan of en welke aanvullende maatregelen van toepassing zijn wanneer verwerkingslocaties zich buiten de Europese Economische Ruimte bevinden.
  • Welke technieken en methoden van gegevensverwerking worden er gebruikt?
  • Welke wet- en regelgeving is van toepassing op de gegevensverwerking?
  • Wat zijn de bewaartermijnen van de persoonsgegevens?
  • Wordt er rekening gehouden met de rechten van de betrokkene?

Risico's

Beschrijf en beoordeel de risico’s van de geplande gegevensverwerking voor de rechten en vrijheden (bijv. financiële schade) van de betrokkenen. Neem hierbij de volgende stappen:

  • Stap 1: Stel de (mogelijke) risico’s vast
  • Stap 2: Schat in hoe groot de kans is dat het risico zich voordoet
  • Stap 3: Beoordeel of de risico’s aanvaardbaar zijn

Ga in ieder geval in op:

  1. welke negatieve gevolgen de gegevensverwerkingen kunnen hebben voor de rechten en vrijheden van de betrokkenen;
  2. de herkomst van deze gevolgen;
  3. de waarschijnlijkheid (kans) dat dit gaat gebeuren;
  4. de ernst (impact) van deze gevolgen voor de betrokkenen als dit gebeurt.

Er is sprake van een onacceptabel hoog (rest)risico wanneer de betrokkenen getroffen worden met significante of onomkeerbare gevolgen die hij mogelijk niet te boven komt of de kans daarop aanzienlijk is.

Verplicht

Een DPIA is verplicht als het verwerken van gegevens een hoog privacyrisico heeft. Door het gebruik van een grote hoeveelheid aan gegevens en het soort gegevens, die voor een langere tijd worden gebruikt, is er in de gezondheidszorg vaak sprake van een hoog privacyrisico.

De Autoriteit Persoonsgegevens (AP) heeft een lijst van verwerkingen samengesteld. Staat de verwerking op deze lijst dan is een DPIA verplicht:

  1. Heimelijk onderzoek
  2. Zwarte lijsten
  3. Fraudebestrijding
  4. Creditscores
  5. Financiële situatie
  6. Genetische persoonsgegevens
  7. Gezondheidsgegevens
  8. Samenwerkingsverbanden
  9. Cameratoezicht
  10. Flexibel cameratoezicht (bijvoorbeeld camera’s op de kleding of helm van brandweer of ambulancepersoneel, of het gebruik van dashcams door hulpdiensten)
  11. Controle werknemers (bijvoorbeeld door het monitoren van internetgebruik)
  12. Locatiegegevens
  13. Communicatiegegevens
  14. Internet of Things
  15. Profilering
  16. Observatie en beïnvloeding van gedrag (bijvoorbeeld bij online behavioral advertising)
  17. Biometrische gegevens

Let op: het kan zijn dat de verwerking van persoonsgegevens die je voor ogen hebt, niet op deze lijst staat. In dat geval zal je zelf moeten bepalen of de verwerking van persoonsgegevens een hoog risico oplevert voor de betrokkenen.

Meer informatie vind je op:

  • www.kcbr.nl/beleid-en-regelgeving-ontwikkelen/integraal-afwegingskader-voor-beleid-en-regelgeving/verplichte-kwaliteitseisen/data-protection-impact-assessment
  • https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia
  • https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-64418.pdf

Aanvullende maatregelen

Voor het nemen van aanvullende maatregelen kan worden aangehaakt bij beveiligingskaders en -standaarden, ‘beste praktijken’ en goedgekeurde gedragscodes en certificeringsmechanismen.

Ter illustratie noemt de AVG de volgende maatregelen:

  1. pseudonimiseren en versleutelen van persoonsgegevens;
  2. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
  3. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
  4. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

Daarnaast kan worden gedacht aan de volgende maatregelen, mede bedoeld om ervoor te zorgen dat persoonsgegevens, gelet op de doeleinden waarvoor ze worden verwerkt, juist en nauwkeurig zijn:

  • fysieke maatregelen voor toegangsbeveiliging en logische toegangscontrole;
  • opslag van gegevens in een kluis;
  • project-, risico- en incidentenmanagement;
  • data opsplitsen;
  • dataminimalisatie;
  • back-ups;
  • integriteitscontroles;
  • meerfactor-authenticatie;
  • monitoring en logging;
  • controle van toegekende bevoegdheden;
  • privacybewustzijn- en beveiligingstrainingen;
  • managementrapportages over risicobeheer;
  • beperken inzageniveau;
  • periodiek een audit of hack- of penetratietest uitvoeren;
  • richtlijnen inzake gebruik ICT-hulpmiddelen, zoals versleutelde USB-sticks en beveiligde opslagplekken;
  • responsible-disclosurebeleid;
  • geheimhoudingsverklaringen;
  • service level agreements (met boeteclausules);
  • verwerkersovereenkomsten;
  • screening personeel en VOG-verklaring.

Restrisico's

Na beoordeling en beschrijving van de risico’s en voorgenomen maatregelen om deze risico’s te beperken blijven er nog zogenaamde restrisico’s over. Het is namelijk niet mogelijk om risico’s volledig uit te sluiten. Besteed aandacht aan de volgende punten bij beoordeling van de restrisico’s:

  • Geef aan welke risico’s niet volledig door de genomen maatregelen voorkomen worden.
  • Vermeld specifiek in welke situatie met welke persoonsgegevens een restrisico aanwezig is.
  • Schat de restrisico’s in met de formule kans x impact. Kortom, beoordeel en beschrijf de kans dat dit restrisico op zal treden en beoordeel en beschrijf de impact van deze restrisico’s.
  • Beschrijf helder en duidelijk waarom deze restrisico’s na het nemen van de maatregelen acceptabel zijn.

Periodiek

Een DPIA kan meerdere keren en op verschillende momenten worden uitgevoerd en geactualiseerd. Bij een wijziging van de regelgeving of project waarbij de verwerkingen van persoonsgegevens een rol spelen, wordt opnieuw een DPIA uitgevoerd. De DPIA wordt opnieuw beoordeeld om te controleren of de manier van gegevenswerking of de effecten van gegevensverwerking is veranderd. Het advies is om een DPIA elke drie jaar te evalueren.

Beeld: ©VWS/AVG-Helpdeskzorg

Na afronding van de DPIA

Na afronding van DPIA leg je deze voor aan de Functionaris Gegevensbescherming (FG), indien je organisatie hierover beschikt. Gaat de DPIA over een ICT-systeem en heeft je organisatie een Chief Information Officer (CIO)? Dan moet deze ook worden afgestemd met de CIO.