DPIA's en andere onderzoeken
DPIA
(Data Protection Impact Assessment)
Nulmeting
- De stand van het gewas -
Bij het implementeren van de privacywetgeving binnen je organisatie maak je gebruik van het principe: "Leg vast, leg uit en pas toe!" Daarbij is het uitvoeren van onderzoeken onontbeerlijk.
Let wel er op dat je vooraf altijd in kaart brengt welke onderzoeken noodzakelijk zijn en wat je met de uitkomst van het onderzoek gaat doen. Onderzoeken kunnen een tijdrovend karwei zijn en we zien nog vaak dat de resultaten in een bureaula verdwijnen.
DPIA
Data Protection Impact Assessment
DPIA staat voor Data Protection Impact Assessment, ook wel gegevensbeschermingseffectbeoordeling genoemd.
De DPIA is een instrument dat wordt gebruikt om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen zodat vervolgens maatregelen kunnen worden genomen om de risico’s te verkleinen.
Vanaf 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf dit moment kan het zijn dat je als organisatie verplicht bent een DPIA uit te voeren.
Let op! Het uitvoeren van een DPIA is een proces dat is gebonden aan een aantal eisen en kan een tijdrovend karwei zijn. De DPIA is slechts in een aantal gevallen verplicht.
Privacy8 DPIA oplossing
Privacy8 ondersteunt organisaties bij het uitvoeren van DPIA's:
-
Kwalificatie of en waar DPIA's moeten worden uitgevoerd.
-
Inventarisatie van de benodigde elementen die verplicht onderdeel zijn van de DPIA.
-
Analyse en actiepunten als gevolg van de uitgevoerde DPIA.
Nulmeting
"De huidige stand van het gewas"
Het implementeren van de privacywetgeving binnen je organisatie betekent dat een aantal technische en organisatorische maatregelen moeten worden geïmplementeerd.
Om dit te kunnen doen breng je eerst in kaart hoe je persoonsgegevens op dit moment worden verwerkt Vervolgens wordt bepaald hoe je zou moeten werken. Het verschil levert de actiepunten op die je als organisatie moet afvinken om privacy compliant te kunnen werken.
Om dit verschil inzichtelijk te maken moet je onderzoeken uitvoeren. Het gevaar bij onderzoeken is dat je aan de slag gaat met lange vragenlijsten die leiden tot lange en onoverzichtelijke rapporten. Dat is vaak niet efficiënt.
Privacy8 maakt om die reden altijd gebruik van een gefaseerd onderzoeksprogramma waarbij resultaten gelijk worden vertaald in actiepunten.
In de eerste fase wordt onderzocht hoe je organisatie in elkaar zit met oog op de privacywetgeving . Waar worden welke persoonsgegevens gebruikt en welke risico's zijn hieraan verbonden (de horizontale analyse). Op basis van de resultaten uit dit onderzoek wordt een plan van aanpak samengesteld: Hoe gaan we privacy invoeren binnen onze organisatie. Als je gebruik maakt van een privacyhandboek worden de resultaten gelijk in het handboek opgenomen.
In de tweede fase wordt per afdeling, systeem of organisatieonderdeel een dieper onderzoek uitgevoerd waarbij de resultaten worden vertaald naar actiepunten (verticale analyse). Zo weet je per afdeling of systeem gelijk wat je moet gaan doen om privacy compliant te werken.
Privacy8 onderzoeksprogramma
Horizontale analyse - Organisatiebreed onderzoek. Waar zitten de privacy risico's binnen je organisatie. Op basis hiervan wordt het plan van aanpak ingeregeld.
Verticale analyse - Diepte onderzoek per afdeling, systeem of organisatieonderdeel. Op basis hiervan wordt actieplan per element samengesteld.