Samenwerken aan privacy met een DPIA
Een DPIA in je gemeente uitvoeren kan complex zijn en veel tijd kosten. Met een nieuwe Handreiking komt de Informatiebeveiligingsdienst (IBD) professionals tegemoet. Wat nog beter helpt, is om kennis te delen en ervaringen uit te wisselen met andere gemeenten. ‘We kunnen nog veel van elkaar leren.’
Sinds 2018 is elke gemeente die persoonsgegevens verwerkt verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren. Dat is een belangrijk plicht, stelt Ester Weststeijn, burgemeester van Rozendaal en lid van de IBD Adviesraad en de VNG-commissie Informatiesamenleving. “Inwoners vertrouwen ons hun persoonsgegevens toe, zodat wij hen de juiste ondersteuning kunnen bieden, denk aan de jeugdzorg. Of bijvoorbeeld wanneer we besluiten cameratoezicht in te zetten in de openbare ruimte. In veel van deze processen delen we bovendien gegevens met partners. De DPIA is een goede – en bovendien soms verplichte – manier om vooraf te borgen dat we dat goed doen. Zo’n ‘gegevensbeschermingseffectbeoordeling’ helpt ons vooraf risico’s te benoemen en maatregelen te nemen.”
Hoe geef je het vorm?
Het uitvoeren van een DPIA wordt echter nog niet overal met evenveel enthousiasme ontvangen. Hoe geef je het vorm? Vaak is het nog een extra taak erbij op de toch al overvolle workload van ambtenaren. Dat zag Sylvia Meinders, functionaris voor gegevensbescherming (FG), toen ze twee jaar geleden in Enschede kwam werken. De gemeente had in 2022 vijf DPIA’s gestart, en er één afgerond. “Ik zag de privacy officers er enorm mee worstelen, omdat ze het hele DPIA-traject van A tot Z op hun schouders namen. In het verwerkingsregister van Enschede stonden 900 verwerkingen. Bij een groot deel ervan worden persoonsgegevens gebruikt. Rekenend dat je minimaal één keer in de drie jaar een DPIA moet herhalen, kwam ik tot 100 tot 150 DPIA’s per jaar. We moesten het gestructureerder en pragmatischer gaan aanpakken. Anders krijg je er nooit meer controle over.”
Vertrouwen in de overheid
Meinders bedacht wat er allemaal moest gebeuren om het proces te veranderen en schreef een memo met aanbevelingen aan de gemeentesecretaris. “Eigenlijk is een DPIA niet meer dan een risico-inventarisatie op het gebied van bescherming van persoonsgegevens.
Dat kun je niet alleen overlaten aan de privacy officer. Omdat de DPIA zo complex is om uit te voeren heb je echt inhoudelijke deskundigen nodig, denk aan applicatiebeheerders, kwaliteitsmedewerkers en vakinhoudelijke deskundigen. Juist zij weten vaak het beste waar de risico’s liggen.”
Een goede DPIA kan dan ook alleen maar tot stand komen wanneer alle betrokken partijen samenwerken, vult Weststeijn aan. “Naast de procesverantwoordelijke, zijn dat ook de PO, FG, CIO, CISO en de verwerker, maar liefst ook degenen van wie de privacy moet worden beschermd. Dat is niet eenvoudig, maar absoluut noodzakelijk wanneer we werken met stelselmatige monitoring, op grote schaal gegevens verwerken of innovatieve nieuwe technologische oplossingen willen inzetten. Dat ondersteunt het vertrouwen van inwoners in de overheid.”
Aanbevelingen
Andere aanbevelingen van Meinders zijn dan ook meer te investeren in de kennis van de ambtenaren die bij zo’n DPIA betrokken zijn, bijvoorbeeld in de vorm van scholing, en om betere procedures in te richten. Ook heeft ze als aanbeveling om te werken met vaste formats voor het uitvoeren van een DPIA. Enschede koos voor het format van Francis Young en Sander van de Molen, auteurs van het ‘Handboek DPIA’s’ uit 2020.
Daarnaast pleit ze voor betere zakelijke archivering, zodat je eerdere DPIA’s binnen de gemeente makkelijker kunt terugvinden. De aanbevelingen en inzet van Meinders hebben effect gehad: in 2023 had Enschede vijf DPIA’s’ afgerond en 24 opgestart. Dit jaar staat de teller medio september al op 12 afgeronde DPIA’s, en 34 in ontwikkeling. “Het vliegwiel komt mooi op gang”, zegt ze tevreden.
Van elkaar leren
“Heel veel processen die wij uitvoeren, voeren andere gemeenten ook uit,” zegt Meinders. Ik zie op de VNG-fora al een levendige vraag en aanbod ontstaan. Als een gemeente een DPIA uitvoert, wordt naar ervaringen van anderen gevraagd. Daar kunnen we nog veel verder meegaan.”
Ze heeft bij het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG) een commissie opgezet, waarin al 10 grotere gemeenten zijn betrokken. Daarnaast is ze actief in de DPIA-werkgroep van de VNG. “Met elkaar kijken we wat nodig is om DPIA’s beter met elkaar te kunnen uitwisselen. We hebben hier ook de sjablonen die we in Enschede gebruiken gedeeld. Ik ben ook blij met de nieuwe Handreiking. Alle elementen die je minimaal in de DPIA terug moet vinden staan erin. Ik ben blij dat er nu een DPIA-bibliotheek is met eerder uitgevoerde DPIA’s, zodat we daar ook beter met elkaar kunnen samenwerken.”
Rozendaal is al langer in contact met andere gemeenten, vertelt de burgemeester. “We willen de samenwerking tussen gemeenten stimuleren door goed uitgevoerde DPIA’s te delen. Dit bespaart tijd en energie bij gemeenten, maar zorgt er ook voor dat onze collectieve kracht optimaal wordt benut om de privacy van inwoners te waarborgen. We kunnen nog veel van elkaar leren.”
Download HIER de DPIA Handreiking ‘Samen naar een kwalitatief goede DPIA’.