Vraag

Data Protection Impact Assesments (DPIA'S) via iProva


Reputatie 3
Badge +6
Heeft een van jullie iprova in gebruik om informatieveiligheid of privacy risico's in kaart te brengen? Bijvoorbeeld door het uitvoeren van DPIA's via Iprova. Gebruik je i+Pra of iRisk? Wat is de ervaring?

10 reacties

Reputatie 2
Badge +7
Wij hebben binnen RIBW K/AM de (D-)PIA ingericht in iCheck, gebaseerd op het NOREA-model. Hierin geven we met behulp van voorwaardelijke vragen richting aan het oordeel van de medewerker die de PIA invult. Op basis van de instellingen in de vragenlijst wordt er facultatief of verplicht een verbetermaatregel opgesteld als de score afwijkt van de norm. Voorafgaand aan de PIA hebben we een kortere vragenlijst opgesteld, onze pre-PIA, waarin heel basaal in zo'n 15 vragen wordt beoordeeld of er privacyissues zijn bij en bepaald project, systeem of proces. Met behulp van die vragen wordt geadviseerd om een volledige PIA uit te voeren of wordt aangegeven dat de pre-PIA voldoende was. Dit kan in iData gekoppeld worden aan een bepaalde applicatie of in iDocument aan een procesbeschrijving, zodat je altijd weer terug kan vallen op de vastlegging en je terug kan vinden waarom bepaalde keuzes gemaakt zijn. Het is nog wel wat experimenteren, ook om het breed in de organisatie te delen, maar zo is het op dit moment ingericht.

We hebben de AVG als normkader ingevoerd t.b.v. meting in iCompliance. Hierin kunnen bewijsmiddelen toegevoegd worden vanuit iProva, zoals documenten, (ingevulde) vragenlijsten of een kaartenbak. Hiermee maak je inzichtelijk op welk gebied er nog risico's zijn omdat we nog niet compliant zijn.

We gebruiken iRisk in bredere zin om risico's in de organisatie te inventariseren, dus in voorkomende gevallen ook risico's op het gebied van de AVG, maar dan meer op procesniveau: wordt het privacybeleid uitgevoerd conform de verwachtingen en welke risico's lopen we hier (nog) in. We gebruiken i+Pra voor retrospectieve risicoanalyse, zoals een PRISMA-analyse, als er een incident geweest is. Ik zou graag ook i+Pri gebruiken (de module waarmee je prospectieve risicoanalyses kunt uitvoeren), maar hiervoor moet ik nog breder in de organisatie draagvlak voor creëren. Dit ligt ook meer op mijn reguliere werkgebied van kwaliteitstoetsing en niet alleen maar specifiek voor privacybeleid.
Reputatie 2
Badge +7
Ter aanvulling: We hebben nu een proeflicentie voor de interactieve documenten en willen kijken of dit gebruikt kan worden voor de pre-PIA: door de scoremogelijkheid,kun je op basis van de gegeven antwoorden direct beoordelen en communiceren dat er een actie ingezet moet worden. Voor een volledige PIA wordt dit misschien wat onoverzichtelijk omdat er zo veel (voorwaardelijke) vragen zijn, maar voor de kortere per-PIA zou dat een mogelijkheid kunnen zijn.

Beste K. Prins,

Wordt de pre-DPIA score automatisch bepaald bij het invullen van verwerkingen? M.a.w. is bij jullie het verwerkingsregister gekoppeld aan de DPIA-score bepaling?

En bij wie wordt de uitvoering van de volledige DPIA belegd?

Reputatie 2
Badge +7

Hoi @S. L.  Nee, de DPIA was niet gekoppeld aan het verwerkingsregister. Dat is wel iets waar ik me op wil oriënteren, zodat bij eventuele nieuwe verwerkingen direct een DPIA uitgevoerd wordt, waarna de verwerking in het register opgenomen wordt. 

De volledige (D)PIA was belegd bij het privacyteam, een groep functionarissen met meer kennis en ervaring op het gebied van privacy en gegevensbescherming (ICT, P&O, Kwaliteit, enz.). In de praktijk werd (ik ben inmiddels van werkgever veranderd, dus kan alleen in de verleden tijd spreken) de bijeenkomst waarin de PIA uitgevoerd werd voorgezeten door de FG. 

De pre-PIA was zo ingericht dat hij door projectleiders/managers in de lijn uitgevoerd moet kunnen worden zonder aanvullende ondersteuning van de FG of het privacyteam. 

Badge +4

Is het mogelijk om de vragenlijsten voor de pre-pia en de volledige dpia met onste delen?

Reputatie 1
Badge +7

@k.prins 

hoi, 

Als jullie een risico bepaling doen op de DPIA die uit de vragenlijst komt, moeten jullie dan al de gegevens opnieuw ingeven in RISK of is er op een of andere manier een koppeling zodat na het invullen van de vragenlijst een risicobeoordeling zal volgen?

In ZENYA kan je op verschillende plaatsen vragenlijsten maken. Ik heb voor de DPIA een kader gemaakt en daarin per item een vraag gecreëerd, waar hebben jullie de vragenlijst gemaakt?

bedankt alvast.

Reputatie 2
Badge +7

@Janneke Jung Ik weet niet of het zo lukt, maar anders kun je me altijd even mailen, dan stuur ik ze via een andere route. 

Reputatie 2
Badge +7

@lwillen Wij hebben op dit moment nog geen iRisk, dus er is (nog) geen verbinding met RISK. Ik heb alleen per vraag bekeken of er bijvoorbeeld veel of kwetsbare betrokkenen met de verwerking gemoeid zijn en hierbij dan als voorwaardelijke "vraag” (wat eigenlijk een opmerking is) aangegeven dat dit mogelijk een hoog risico is, dus dat men hierover in gesprek moet met de FG. 

Ik heb de vragenlijsten staan in de module Vragenlijsten. Deze zijn niet gekoppeld aan een kader, daar moet ik zelf nog wat meer in investeren om die koppelingen beter te leggen. Wel heb ik in de kaartenbak van de verwerkingen een veld dat verwijst naar een ingevulde vragenlijst, dus als er een PIA gedaan is, kan die toegevoegd worden aan de kaart van de verwerking. 

Reputatie 2
Badge +7

@Janneke Jung Overigens is het NOREA raamwerk inmiddels redelijk ingrijpend veranderd, maar we gebruiken nog het oude raamwerk. We oriënteren ons wel op verdere implementatie van het nieuwe raamwerk.

Reputatie 1
Badge +7

Bedankt voor het snelle antwoord

Reageer


Algemene voorwaarden | Privacyverklaring