Data Protection Impact Assessment

Data Protection Impact Assessment

Wat is het?

Als u de privacy risico’s van een bedrijfsproces in een vroeg stadium in beeld wilt brengen, kunt u ons een DPIA laten uitvoeren. Bij een DPIA “keurt de slager niet zijn eigen vlees”, maar treedt BKBO op als onafhankelijk keurmeester. Op een gestructureerde en heldere manier brengen wij voor u de belangrijke risico’s in beeld en geven u aanbevelingen om de aangetroffen risico’s te verminderen of weg te nemen. Een DPIA wijst uit welke persoonsgegevens worden gebruikt, welke beschermende maatregelen zijn genomen, wat de impact is op de betrokkene en uw organisatie en welke verbetermaatregelen kunnen worden genomen.
Met een DPIA krijgt u antwoord op vragen als:

  • Welke persoonsgegevens worden gebruikt en zijn ze nodig?
  • Wat is de impact van het bedrijfsproces op de privacy?
  • Wat zijn de risico’s voor de betrokkenen en voor de organisatie?
  • Zijn de taken, bevoegdheden en verantwoordelijkheden belegd?
  • Zijn uw maatregelen om de privacy te beschermen adequaat?
  • Zijn er verwerkers en zijn daarmee overeenkomsten gesloten en worden deze nageleefd?
  • Hoe zit het met de gebruikte applicaties. Ondersteunen deze het proces of wordt er ook gebruik gemaakt van andere minder betrouwbare voorzieningen? Is het veilig, wordt er gelogd, worden de persoonsgegevens versleuteld?
  • Welke verbeteringen zijn mogelijk? Is er een aanpak mogelijk die minder gevolgen heeft voor de privacy?

Verplicht op basis van de AVG

Vanaf 25 mei 2018 -de inwerkingtreding van de Algemene Verordening Gegevensbescherming is een DPIA wettelijk vereist vòòr ingebruikname van een nieuwe persoonsgegevensverwerking onder bepaalde condities. Een DPIA moet worden uitgevoerd als bij de verwerking van persoonsgegevens een groot privacyrisico ontstaat voor de mensen. Een DPIA is in elk geval verplicht als:

  • U als organisatie uitvoerig en systematisch persoonlijke gegevens beoordeelt; daarbij kan het bijvoorbeeld gaan om beroepsprestaties, prognoses, persoonlijke voorkeuren, gezondheid, of het gedrag;
  • U als organisatie op een grote schaal bijzondere gegevens van personen verwerkt;
  • U als organisatie systematisch en op grote schaal mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld met camera’s.

Hoe zien wij het?

Na het uitvoeren van een DPIA, kunt u gerichte verbeteringen aanbrengen. Hierdoor worden kostbare aanpassingen in een later stadium voorkomen. Bijvoorbeeld een volledig herontwerp van het bedrijfsproces of een migratietraject dat moet worden stopgezet. We steken veel tijd en energie in het op maat maken van aanbevelingen om de privacyrisico’s te beperken.
Onderscheidend van onze aanpak ten opzichte van de vele privacy adviesbureaus is dat wij uw privacy issues klip en klaar blootleggen en aanbevelingen doen zonder het belang om vervolgens in een langdurig adviestraject de zaak op te lossen. Uiteraard werken we wel samen met een aantal gerenommeerde privacy adviseurs, die onze aanbevelingen uitstekend samen met u kunnen oppakken om procesverbetering door te voeren. Daarnaast leveren we echt maatwerk en komen we niet met de oppervlakkige standaard aanbevelingen.

Wat kunnen wij voor u betekenen?

Wij kennen de markt, de situatie waarin u zich bevindt en waar u tegenaan loopt. Wij weten als geen ander wat het belang is van privacybescherming voor de burger, uw klant of de consument. Wij combineren kennis van uw bedrijfsprocessen met onze ervaring als IT-auditor. De DPIA start met een gegevensanalyse, welke persoonsgegevens worden wanneer gebruikt in uw bedrijfsproces. Dat gaan we aan het scherm na met uw functioneel beheer. Vervolgens interviewen we de sleutelfiguren uit uw bedrijfsproces en de CISO , FG en het management. Vanuit kwaliteitsoogpunt zet BKBO voor de uitvoering van de DPIA gecertificeerde register IT-auditors in. Dit betekent dat we veel werk steken in de herleidbaarheid van onze conclusies en dat informatiebeveiliging steeds onze aandacht zal hebben. Vanzelfsprekend werken we conform de richtlijnen van de Autoriteit Persoonsgegevens.

Hoe doen wij dat?

De basis wordt gelegd door een gestructureerd documentenonderzoek, waarbij we gedegen werken volgens de Norea Documentatie-richtlijn waarbij elke conclusie terug te voeren is op bewijsvoering zodanig dat een andere auditor tot dezelfde uitkomst zou komen. Daarna volgen de interviews. We hanteren de DPIA-vragenlijst van de NOREA. Alle interviews worden opgenomen, door ons uitgewerkt en ter accordering voorgelegd. We hebben slechts een beperkt aantal sessies nodig om samen met u de situatie te doorgronden. Na een technisch onderzoek, stellen wij een concept-rapportage op en beoordelen uw bedrijfsproces met name op vertrouwelijkheid. In een eindbespreking nemen we het rapport door aan de hand van een presentatie. Gezamenlijk bekijken we de risico’s en lichten wij onze aanbevelingen toe. De resultaten van het eindgesprek worden vervolgens door ons verwerkt in een eindrapportage. De doorlooptijd van de DPIA is drie tot vier weken.

Wat kost het?

De kosten van de DPIA zijn afhankelijk van de omvang van het te beoordelen project of bedrijfsproces, het aantal bedrijfsprocessen dat u onder de loep wilt leggen, het aantal personeelsleden van uw organisatie dat moet worden geïnterviewd en het aantal vestigingen. Normaal gesproken liggen de kosten tussen de € 6.500,- en € 12.000,-

Offerte aanvraag

Offerte op aanvraag bij info@bkbo.nl

Wilt u meer weten?

Graag beantwoorden wij al uw vragen. U kunt daarvoor bellen met BKBO op telefoonnummer:

073 – 211 03 37