Er is voor de particuliere sector geen vaste lay-out opgesteld voor een DPIA. Echter op de website van de Franse Autoriteit Persoonsgegevens is een tool gepubliceerd die voor het opstellen van een DPIA kan worden gebruikt. Deze tool is ook beschikbaar in het Nederlands. De url is https://www.cnil.fr/en/privacy-impact-assessment-pia , onder het kopje PIA Software.
Ook heeft de Nederlandse overheid een model-DPIA ontwikkeld voor rijksdiensten. Dit model DPIA is relevant wanneer de onderzoeksorganisatie werkzaamheden verricht ten behoeve van een rijksdienst. Het model voor de DPIA en het rapportagemodel DPIA zijn beschikbaar via https://www.kcbr.nl/beleid-en-regelgeving-ontwikkelen/beleidskompas/achtergrond-beleidskompas/verplichte-kwaliteitseisen/data-protection-impact-assessment
Dus rerst een keuze maken m.b.t.:
1 behoort de opdrachtgever tot de private sector;
2 behoort de opdrachtgever tot de publieke sector.
PS Een DPIA dient wel apart te worden gevalideerd ter voorkoming van ‘de slager keurt zijn eigen vlees’.
Ter illustratie stuur ik je hieronder een inhoudsopgave van een DPIA die is gemaakt met de tool van de CNIL.
Inhoud
• Management samenvatting
• Overzicht ernst en risico
• Overzicht Actieplan bestaande of geplande maatregelen
• Validatie
1. Mening van externe validator en betrokkenen
2. Naam externe DPO-validator
3. Status
4. Mening DPO-validator
5. Zoeken naar de mening van betrokken mensen
6. Reden waarom de mening van betrokken mensen niet werd gevraagd
7. Context
• Overzicht
1. Welke verwerking wordt overwogen?
2. Welke verantwoordelijkheden zijn verbonden aan de verwerking?
3. Zijn er normen van toepassing op de verwerking?
4. Context
5. Gegevens, processen en ondersteunende activa
6. Welke gegevens worden verwerkt?
7. Hoe werkt de levenscyclus van gegevens en processen?
8. Wat zijn de ondersteunende activa van de gegevens?
• Algemene fundamentele principes
1. Evenredigheid en noodzakelijkheid
2. Zijn de verwerkingsdoeleinden gespecificeerd, expliciet en legitiem?
3. Wat is de wettelijke basis om de verwerking rechtmatig te maken?
4. Zijn de gegevens adequaat, relevant en beperkt tot wat nodig is met betrekking tot de doeleinden waarvoor ze worden verwerkt (‘gegevensminimalisatie’)?
5. Zijn de gegevens juist en worden ze up-to-date gehouden?
6. Wat is de opslagduur van de gegevens?
• Fundamentele principes
• Rechten van de betrokkenen (Verwerker kan deze vragen niet beantwoorden, dit ligt bij de Verwerkingsverantwoordelijke)
1. Hoe worden de betrokkenen geïnformeerd over de verwerking?
2. Hoe wordt de toestemming van betrokkenen verkregen?
3. Hoe kunnen betrokkenen hun recht op toegang en gegevensportabiliteit uitoefenen?
4. Hoe kunnen betrokkenen hun recht op rectificatie en verwijdering uitoefenen?
5. Hoe kunnen betrokkenen hun recht op beperking uitoefenen en bezwaar maken?
6. Zijn de verplichtingen van de verwerkers duidelijk geïdentificeerd en geregeld door een contract?
7. Zijn de gegevens in het geval van gegevensoverdracht buiten de Europese Unie voldoende beschermd?
8. Risico’s
• Bestaande of geplande maatregelen
1. Maatregelen genomen met betrekking tot de beschikbaarheid, integriteit en vertrouwelijkheid
2. Procedure in geval van datalek
3. Risico’s
• Onrechtmatige toegang tot gegevens
1. Wat kunnen de belangrijkste gevolgen voor de betrokkenen zijn als het risico zou optreden?
2. Wat zijn de belangrijkste bedreigingen die tot het risico kunnen leiden?
3. Wat zijn de risicobronnen?
4. Welke van de geïdentificeerde maatregelen dragen bij aan het aanpakken van het risico?
5. Hoe schat u de ernst van het risico, met name op basis van de potentiële effecten en geplande maatregelen?
6. Hoe schat u de waarschijnlijkheid van het risico, vooral met betrekking tot bedreigingen, risicobronnen en geplande maatregelen?
7. Risico’s
• Ongewenste wijziging van gegevens
1. Wat kunnen de belangrijkste gevolgen voor de betrokkenen zijn als het risico zou optreden?
2. Wat zijn de belangrijkste bedreigingen die tot het risico kunnen leiden?
3. Wat zijn de risicobronnen?
4. Welke van de geïdentificeerde controles dragen bij aan het aanpakken van het risico?
5. Hoe schat u de ernst van het risico, met name op basis van de potentiële effecten en geplande controles?
6. Hoe schat u de waarschijnlijkheid van het risico, vooral met betrekking tot bedreigingen, risicobronnen en geplande controles?
7. Risico’s
• Verdwijnen van gegevens
1. Wat kunnen de belangrijkste gevolgen voor de betrokkenen zijn als het risico zou optreden?
2. Wat zijn de belangrijkste bedreigingen die tot het risico kunnen leiden?
3. Wat zijn de risicobronnen?
4. Welke van de geïdentificeerde controles dragen bij aan het aanpakken van het risico?
5. Hoe schat u de ernst van het risico, met name op basis van de potentiële effecten en geplande controles?
6. Hoe schat u de waarschijnlijkheid van het risico, vooral met betrekking tot bedreigingen, risicobronnen en geplande controles?
7. Risico’s
Singewald Group
25 september 2024