Hoe gemeentelijke DPIA’s bijdragen aan privacy by design

Persoonsgegevens verwerken brengt risico’s mee. Zeker bij gemeenten, waar vanuit verschillende taken en bevoegdheden de noodzaak bestaat om (gevoelige of bijzondere) gegevens van burgers te verwerken. Een efficiënte manier om risico’s te beperken is het inrichten van processen en systemen volgens het principe van privacy by design: het organisatorisch en technisch stimuleren van zorgvuldige omgang met persoonsgegevens.[1] Dit doe je door vooraf bepaalde ontwerpstrategieën te doorlopen, bij het ontwerpen van systemen, applicaties, processen, beleid en producten. Hierbij komen bijvoorbeeld dataminimalisatie en transparantie aan bod.

Eén van de manieren waarop invulling wordt gegeven aan privacy by design is het uitvoeren van Data Protection Impact Assessments (DPIA’s). Dit is een inventarisatie en analyse van de risico’s van een verwerking, die voor verwerkingen met een hoog risico verplicht is. Omdat het uitvoeren van een DPIA in de praktijk geregeld uitdagingen met zich mee brengt, zetten we een aantal aandachtspunten op een rij over de verplichting om DPIA’s uit te voeren, welke hulpmiddelen er voor gemeenten zijn en hoe een DPIA bijdraagt aan het privacy by design principe.

Wat is een DPIA en wanneer deze verplicht?
Een DPIA bestaat op hoofdlijnen uit de beschrijving van een proces waarbinnen persoonsgegevens worden verwerkt, een beoordeling van de noodzaak en proportionaliteit van die verwerking, een inventarisatie van de risico’s voor de gegevens van betrokkenen binnen dit proces en het vastleggen van beheersmaatregelen die de risico’s verkleinen.

Een DPIA moet verplicht worden uitgevoerd wanneer een verwerking, gelet op de aard, omvang, context en doeleinden, waarschijnlijk een (hoog) risico inhoudt voor de rechten en vrijheden natuurlijke personen. [2] De Autoriteit Persoonsgegevens (AP) stelde een lijst met 17 soorten verwerkingen op waarbij een DPIA in ieder geval verplicht is. Bijvoorbeeld bij het inzetten van cameratoezicht, of wanneer bijzondere of gevoelige gegevens worden gedeeld binnen een samenwerkingsverband tussen gemeenten en andere publieke of private partijen.

Maakt jouw gemeente stelselmatig gebruik van cameratoezicht, en is er (nog) geen DPIA uitgevoerd op dit proces? Dan voldoe je niet aan de AVG, en dat kan leiden tot een boete. Zo legde de AP eerder een boete van €50.000 op aan de gemeente Rotterdam, vanwege het niet uitvoeren van een DPIA bij de inzet van mobiele camera-auto’s.

Hoe draagt een DPIA (het best) bij aan privacy by design
Het bepalen van een moment om te starten met een DPIA kan lastig zijn. Wanneer een systeem nog niet is ingericht, zijn vaak nog niet alle vragen over de technische en praktische werking ervan te beantwoorden. Toch is de fase van inrichting van een systeem of proces juist een geschikt moment om invloed op de werking ervan uit te oefenen.

Het is daarom aan te raden om een DPIA zo vroeg mogelijk in het proces van een nieuwe verwerking uit te voeren. Zo wordt een proces vanaf de start volgens de uitgangspunten van de AVG ingericht, en dus ook volgens het principe van privacy by design.

Is een proces of systeem al in gebruik, zonder dat er een DPIA op uitgevoerd is (waar dit wel zou moeten)? Start dan zo spoedig mogelijk met de DPIA.

Hulpmiddelen bij de uitvoering van een DPIA
Het uitvoeren van een DPIA kan een complexe en tijdrovende procedure zijn. Gelukkig zijn er hulpmiddelen beschikbaar, die gemeenten ondersteunen bij het doorlopen van deze procedure.

Wij zetten de belangrijkste hulpmiddelen op een rij:

Raadpleeg de FG
Vanuit de AVG is het verplicht om advies van de Functionaris Gegevensbescherming in te winnen, bij het opstellen van de DPIA. De FG kan op voorhand adviseren over de noodzaak tot het uitvoeren van een DPIA, voorzien in tussentijds advies over de uitvoering en meedenken over waarborgen om privacyrisico’s te beperken.

Pre-scan DPIA
Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) stelde in opdracht van het Ministerie van Binnenlandse Zaken een Pre-scan DPIA op. Deze scan helpt bij het afwegen of DPIA noodzakelijk is.

(Rapportage)model DPIA Rijksdienst
In september 2023 lanceerde het CIP het Model DPIA Rijksdienst 3.0, dat samen met Rapportagemodel DPIA Rijksdienst kan worden gebruikt voor de uitvoering van een volledige DPIA. De modellen begeleiden bij het uitvoeren van een DPIA, en helpen om een DPIA op een efficiënte, correcte én volledige wijze tot stand te laten komen.

Collectieve DPIA’s
De Informatiebeveiligingsdienst (IBD) en de Vereniging van Nederlandse gemeenten (VNG) voeren voor gemeenten collectieve DPIA’s uit. Dat zijn DPIA’s die gelden voor een groep van gemeenten of alle gemeenten.[3] Hoewel de collectieve DPIA’s vaak nog toegespitst moeten worden op de specifieke situatie per gemeente, is met de basis die er ligt het grootste werk uit handen genomen.

Vragen?
Heb je nog vragen naar aanleiding van deze blog? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Met een team van specialisten staan we klaar om gemeentes te helpen met deskundig advies en ondersteuning op het gebied van privacy en informatiebeveiliging, zo ook bij het uitvoeren van of ondersteunen bij DPIA’s.

Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via het telefoonnummer 030 – 889 65 75.

[1] Art. 25 AVG

[2] Art. 35 lid 1 AVG

[3] Zo zijn er DPIA’s gepubliceerd voor verwerkingen binnen de Omgevingswet/Digitaal Stelsel Omgevingswet, de Wet verplichte ggz  en voor Whatsapp for business.