5 fasen van de EU AV Gegevensbeschermingseffectbeoordeling

Een kort overzicht van DPIA methodologie

Dit artikel richt zich op een nieuw instrument  welke gedefinieerd kan worden als een halve audit en een half managementproject. In Artikel 35, levert de Algemene Verordening Gegevensbescherming een specifiek analytisch tool, vergelijkbaar met een reeds bestaand instrument.  Aan beoordelaars, het is bekend als informatie- en informatiebeveiligingsmanagement. Houd er alstublieft rekening mee dat dit artikel de AVG impact beoordelingsmethodologie niet diepgaand, stap voor stap, bespreekt. Liever, het zal u een overzicht geven van al de fasen van zo’n beoordeling. Andere artikelen in deze reeks zullen de details van elke fase verklaren.

De aard van de DPIA

Indien u het artikel heeft gelezen over De rol van de FG, dan kan u zijn opgevallen dat de rol van de FG vrij horizontaal, gemixt met juridische, valuatie, technische en communicatievaardigheden. De DPIA is eigenlijk de belichaming van een dergelijke mix. Bovendien, sinds de DPIA omvat zowel gegevensverantwoordelijken als verwerkers in de procedure, kunnen we ook aannemen dat de DPIA het perfecte instrument is om de verantwoordelijkheid en verantwoording van een bedrijf te waarborgen.

Er is een wettelijke verplichting om een beoordeling uit te voeren indien de verwerking waarschijnlijk zal resulteren in een hoog risico voor het datasubject (Art.35 AVG). Gegeven de belangen in een bedrijf en de evolutie van IT systemen, een risicomanagementbenadering stelt een organisatie in staat te bepalen wat de benodigde beheersmaatregelen zijn. Het maakt het mogelijk door het verwerken te bestuderen, risico’s te prioriteren en ze te behandelen in een evenredige manier om kosten te optimaliseren en beslissingen te nemen. Als laatste, een DPIA helpt een bedrijf de implementatie van de gegevensbeschermingsgrondbeginselen te tonen. Daaropvolgend, we kunnen met recht toegeven dat een DPIA een compliance-instrument is; en dat het te gebruiken is voor de implementatie van de verwerking (ex ante analyse).

5 fasen van de EU AV Gegevensbeschermingseffectbeoordeling - Advisera

Een kort overzicht van deze methode

Een DPIA bestaat normaal uit verschillende fasen. Elk van deze fasen analyseert een specifiek kenmerk van uw gegevensverwerking tegen een reeks van beheersmaatregelen en checks. Indien u zich ooit heeft afgevraagd wat een piloot en copiloot doen voor opstijgen, dan gaan ze eigenlijk door een checklist van hun instrumenten tegen een gereguleerde en beoordeelde reeks van beheersmaatregelen. Een DPIA is vergelijkbaar met dit, maar heeft enige flexibiliteit, in tegenstelling tot een vliegtuigchecklist.

Een DPIA is aanpasbaar tot de diepte van de beoordeling die u wenst uit te voeren, hiermee bedoelende dat er geen tijdvak is aangegeven voor elk element van de beoordeling. Met andere woorden, indien uw beoordelingsteam wenst tijd te nemen om te na te denken over de beheersmaatregelen of om bedreigingen ten aanzien van de verwerking te zoeken en te bestuderen, dan zou u hen dit moeten laten doen, omdat remedies het verwachte resultaat zal zijn van deze analyse. In termen van methodologie, Artikel 35.7 van de Verordening levert de minimale elementen om te worden beoordeeld, welke worden beschreven in de onderstaande 5 fasen:

  • Fase 1 is in feite een gedetailleerde lijst van de gegevensverwerking, inclusief: de gegevens dat het gebruikt, details van z’n gegevensverantwoordelijken en gegevensverwerkers, z’n legale basis voor de retentieperioden toegepast op de gegevens. Het bezit overeenkomsten met het oude berichtgevingsformat, een vereiste van Richtlijn 95/46 EC, welke zal verdwijnen na 25 mei 2018.
  • Fase 2 identificeert de wettelijke en risicobehandelingsbeheersmaatregelen die momenteel zijn geïmplementeerd. De fase impliceert de huidige en bestaande set maatregelen vanuit een wettelijk, technisch, fysiek en organisatorisch standpunt. De doelstelling is ieder risico dat zou kunnen worden geïdentificeerd voorafgaand aan de implementatie van de gegevensverwerking te beheersen. Indien, bijvoorbeeld, uw bedrijf heeft niet z’n beleid gerelateerd aan de toegang tot zijn bedrijfsterrein beoordeeld (bijv.: uitgifte badge, toegangslogbestanden, enz.), dan dient u waarschijnlijk dit eerst te doen alvorens een dergelijk beleid uit te breiden naar een nieuw gebouwde/ verkregen gebied van uw bedrijfsterrein of een nieuw systeem.
  • Fase 3 vermeldt de risicobronnen voor de gegevensverwerking. Het brengt de volgende vraag naar boven: “zal mijn bedrijf lijden onder deze nieuwe gegevensverwerking, en indien ja, waar en wanneer zal het er dan onder lijden?” Deze fase richt zich op mogelijke inbreuken op gegevensbescherming (bijv. schade veroorzaakt door inaccurate gegevens of een datalek), en een beoordeling van bedrijfsrisico’s, reputatieschade, of financiële kosten. Het vraagt om verbeelding, in het bijzonder teneinde een aardig aantal aan risicobronnen te zoeken tegen uw bedrijf. Indien u een bankbedrijf leidt, dan zal een van uw risicobronnen zijn dat uw database gehackt kan worden en frauduleus kan worden benaderd. Het is een beveiligingsrisico op zichzelf, maar het draagt ook een financieel risico naar uw aandelen terwijl een risico vormt voor uw reputatie in de ogen van uw klanten.
  • Fase 4 gaat over het analyseren en opsommen van negatieve gebeurtenissen en bedreigingen ten aanzien van  gegevensverwerking. Het onderscheid van Fase 4 is dat het zich zal richten op de persoonsgegevens van de datasubjects (natuurlijke personen), en potentiële gevolgen van de nieuwe verwerking op die gegevens. Mochten de gebeurtenissen extern of intern, menselijk of niet-menselijk (technisch) zijn, deze fase is relevant ten aanzien van technologische ontwikkelingen. Nieuwe technologieën kunnen een heldere introductie van privacy-vriendelijke waarborgen missen en dus datasubjects blootstellen aan bedreigingen zoals hacken, phishen, en spammen. Z’n doel om de type bedreigingen waaraan uw verwerking wordt blootgesteld te bepalen. Laten we aannemen dat u de directeur ben van een groot ziekenhuis. De statussen van uw patiënten zijn erg gevoelig. Een menselijke bedreiging zou zijn dar deze registraties kunnen worden benaderd door de verkeerde stafmedewerkers voor de verkeerde reden, en een niet-menselijke bedreiging zou zijn dat een operating systeem gebruikt door uw ziekenhuis een is dat 10 jaar heeft gefunctioneerd zonder. Voor de eerste instantie, mag u bang zijn voor een ongeautoriseerde en frauduleuze toegang, terwijl voor de tweede instantie, mag u vrezen voor een cyberaanval op uw operating systeem. Uiteindelijk, het medisch geheim van uw patiënten zal worden bedreigd indien u de bedreiging niet ‘geneest’.
  • Als laatste, Fase 5 is in het format van een rapport en vat de analyse samen, de huidige beheersmaatregelen, de risico’s voor u bedrijf en de bedreigingen voor de persoonsgegevens. Het rapport zet de opties van de organisatie uiteen voor het adresseren van ieder geïdentificeerd risico, bedreiging of gebrek. Het verklaard of elke optie zal resulteren in het elimineren, reduceren en accepteren van het risico zoals het is. Het rapport wordt geregistreerd bewaard en gepresenteerd aan de hoofmanagers van uw organisatie. Deze managers kunnen zo beslissen of er actie zijn genomen, of genomen dienen te worden, en dergelijke acties opvolgen. Wij kunnen hier opmerken dat dergelijke rapporten bijdragen aan uw compliance aan het AVG-grondbeginsel van accountability.

Toegevoegde waarde van een DPIA

Een DPIA representeert toegevoegde waarde aan uw bedrijf. Het lijkt een erg langdradige en tijd vretende oefening. Toch, terwijl een DPIA ‘groene-lichten’ geeft aan uw compliance aan specifieke gegevensverwerking, zal het ook een pre-analyse van uw verwerking verschaffen door de interne staf betrokken in de DPIA terwijl blijk van vertrouwen gevend aan de nationale toezichthouders en klanten.

Dergelijke beoordeling levert een krachtige mogelijkheid om documenten her) te boordelen, de implementatie van uw project voor te bereiden, bouwen of aanpassen van uw beleid, upgraden van technische aspecten, en om uw beheersmaatregelen opnieuw te bekrachtigen. Kortom, de DPIA prikkelt uw staf om bewustzijn uit te wisselen en te verhogen over bescherming van de persoonsgegevens binnen uw bedrijf.

Toon uw compliance van uw gegevensbescherming aan uw toezichthoudende instanties is wat u in uw achterhoofd dient te houden. Deze instantie zal weten van uw beoordelingen, omdat u een registratie van ze dient te hebben. In het geval van een audit binnen uw pand, dan zult u in staat zijn een blijk van vertrouwen te kunnen laten zien door deze registraties te laten zijn. Bovendien, als het gaat om u klanten, u zult de datasubject geruststellen dat u hun gegevens en uw reputatie veilig stelt.

Klik hier om uw gratis Diagram van het EU AVG implementatieproces te downloaden om te leren waar de DPIA past in het hele proces.