Vraag

Data Protection Impact Assesments (DPIA'S) via iProva

  • 20 maart 2019
  • 4 reacties
  • 315 Bekeken

Reputatie 2
Badge +5
Heeft een van jullie iprova in gebruik om informatieveiligheid of privacy risico's in kaart te brengen? Bijvoorbeeld door het uitvoeren van DPIA's via Iprova. Gebruik je i+Pra of iRisk? Wat is de ervaring?

4 reacties

Wij hebben binnen RIBW K/AM de (D-)PIA ingericht in iCheck, gebaseerd op het NOREA-model. Hierin geven we met behulp van voorwaardelijke vragen richting aan het oordeel van de medewerker die de PIA invult. Op basis van de instellingen in de vragenlijst wordt er facultatief of verplicht een verbetermaatregel opgesteld als de score afwijkt van de norm. Voorafgaand aan de PIA hebben we een kortere vragenlijst opgesteld, onze pre-PIA, waarin heel basaal in zo'n 15 vragen wordt beoordeeld of er privacyissues zijn bij en bepaald project, systeem of proces. Met behulp van die vragen wordt geadviseerd om een volledige PIA uit te voeren of wordt aangegeven dat de pre-PIA voldoende was. Dit kan in iData gekoppeld worden aan een bepaalde applicatie of in iDocument aan een procesbeschrijving, zodat je altijd weer terug kan vallen op de vastlegging en je terug kan vinden waarom bepaalde keuzes gemaakt zijn. Het is nog wel wat experimenteren, ook om het breed in de organisatie te delen, maar zo is het op dit moment ingericht.

We hebben de AVG als normkader ingevoerd t.b.v. meting in iCompliance. Hierin kunnen bewijsmiddelen toegevoegd worden vanuit iProva, zoals documenten, (ingevulde) vragenlijsten of een kaartenbak. Hiermee maak je inzichtelijk op welk gebied er nog risico's zijn omdat we nog niet compliant zijn.

We gebruiken iRisk in bredere zin om risico's in de organisatie te inventariseren, dus in voorkomende gevallen ook risico's op het gebied van de AVG, maar dan meer op procesniveau: wordt het privacybeleid uitgevoerd conform de verwachtingen en welke risico's lopen we hier (nog) in. We gebruiken i+Pra voor retrospectieve risicoanalyse, zoals een PRISMA-analyse, als er een incident geweest is. Ik zou graag ook i+Pri gebruiken (de module waarmee je prospectieve risicoanalyses kunt uitvoeren), maar hiervoor moet ik nog breder in de organisatie draagvlak voor creëren. Dit ligt ook meer op mijn reguliere werkgebied van kwaliteitstoetsing en niet alleen maar specifiek voor privacybeleid.
Ter aanvulling: We hebben nu een proeflicentie voor de interactieve documenten en willen kijken of dit gebruikt kan worden voor de pre-PIA: door de scoremogelijkheid,kun je op basis van de gegeven antwoorden direct beoordelen en communiceren dat er een actie ingezet moet worden. Voor een volledige PIA wordt dit misschien wat onoverzichtelijk omdat er zo veel (voorwaardelijke) vragen zijn, maar voor de kortere per-PIA zou dat een mogelijkheid kunnen zijn.

Beste K. Prins,

Wordt de pre-DPIA score automatisch bepaald bij het invullen van verwerkingen? M.a.w. is bij jullie het verwerkingsregister gekoppeld aan de DPIA-score bepaling?

En bij wie wordt de uitvoering van de volledige DPIA belegd?

Hoi @S. L.  Nee, de DPIA was niet gekoppeld aan het verwerkingsregister. Dat is wel iets waar ik me op wil oriënteren, zodat bij eventuele nieuwe verwerkingen direct een DPIA uitgevoerd wordt, waarna de verwerking in het register opgenomen wordt. 

De volledige (D)PIA was belegd bij het privacyteam, een groep functionarissen met meer kennis en ervaring op het gebied van privacy en gegevensbescherming (ICT, P&O, Kwaliteit, enz.). In de praktijk werd (ik ben inmiddels van werkgever veranderd, dus kan alleen in de verleden tijd spreken) de bijeenkomst waarin de PIA uitgevoerd werd voorgezeten door de FG. 

De pre-PIA was zo ingericht dat hij door projectleiders/managers in de lijn uitgevoerd moet kunnen worden zonder aanvullende ondersteuning van de FG of het privacyteam. 

Reageer


Algemene voorwaarden | Privacyverklaring