Handboek DPIA's

Handboek DPIA’s

Organisaties moeten ervoor zorgen dat ze in de processen waarin ze persoonsgegevens verwerken

de privacy van betrokkenen beschermen. DPIA’s spelen daarbij een cruciale rol. Want essentieel is

dat organisaties technische en organisatorische maatregelen treffen om te voorkomen dat bepaalde

privacyrisico’s zich voordoen. Door middel van een DPIA worden systematisch alle privacyrisico’s

en de impact daarvan op consumenten, patiënten en burgers in kaart gebracht en wordt voor elk

van de betreffende risico’s beoordeeld welke mitigerende maatregelen kunnen worden toegepast.

DPIA’s zijn voor bepaalde soorten processen volgens de AVG verplicht. Over DPIA´s blijken in de

praktijk echter veel misverstanden en onduidelijkheden te bestaan, zowel wat betreft de theorie als

wat betreft de praktijk: hoe voer je een DPIA uit? Hierdoor worden er ten onrechte vaak geen of

suboptimale DPIA’s uitgevoerd.

Dit boek behandelt de theorie en de praktijk over DPIA’s. Feitelijk bestaat het boek uit drie delen,

waarmee je, afhankelijk van je ervaring en behoefte, aan de slag kunt gaan: een theoriedeel, een

praktijkdeel en ten slotte een praktische set modellen om DPIA’s uit te voeren. In het theoriedeel

leggen we het juridische kader voor DPIA’s uit en geven we antwoord op verschillende vragen die

van belang zijn bij het uitvoeren daarvan. Bijvoorbeeld: aan de hand van welke criteria bepaal je of

een DPIA verplicht is en wat is de rol van de FG bij een DPIA? In het praktijkdeel laten we zien hoe je

een DPIA moet uitvoeren aan de hand van een aantal praktische DPIA-modellen: een Pre-DPIA, een

compacte DPIA en een uitgebreide DPIA. Daarbij leggen we ook het te volgen proces uit, waarbij

onder meer de vraag aan de orde komt wanneer je welke soorten medewerkers bij de uitvoering

ervan moet betrekken. Voor lezers met geen of minder ervaring en kennis over DPIA’s en privacy

bevelen we aan te beginnen met het theoriedeel, daarna het praktijkdeel en vervolgens de modellen

te lezen. Lezers met de nodige basiskennis kunnen desgewenst al direct met het praktijkdeel en de

modellen starten. Meer ervaren lezers kunnen direct met de (DPIA-)modellen aan de slag gaan en het

theorie- en praktijkdeel gebruiken als naslagwerk voor specifieke vragen.

Mr. J.F.A. (Francis) Joung CIPP/E is van huis uit jurist en is vanaf 2002 tot 2016 in

verschillende rollen als privacy specialist in de fi nanciële sector werkzaam geweest,

onder meer als bedrijfsjurist en compliance offi cer. Francis adviseert vanaf 2016 als

privacy consultant cliënten in diverse branches, waaronder universiteiten, fi nancials,

energieleveranciers en gemeenten om hun organisatie en processen privacy compliant te

maken, maar ook praktisch en werkbaar te houden. Hij verzorgt het complete pakket, dus

vanaf de (risico)analyse, het opstellen van beleid en procedures tot en met de implementatie

daarvan. Francis is ook actief als Functionaris Gegevensbescherming en Privacy Offi cer.

Hij heeft meer dan 2500 uur ervaring met DPIA’s in uiteenlopende sectoren.

Mr. A.C.M. (Sander) van de Molen CIPP/E is jurist en privacy professional. Hij is mede

eigenaar van PrivacyPeople en PrivacyTeam. Sander heeft veel ervaring op het gebied van

compliance en privacy vraagstukken en helpt klanten in diverse branches, zoals de zakelijke

dienstverlening, fi nancials, onderwijs en zorg/welzijn. Zo is hij voor meerdere partijen

werkzaam als FG en voert hij audits en nulmetingen uit. Tevens ondersteunt hij klanten

met DPIA’s. Eén van zijn specialiteiten is het aantoonbaar maken van naleving van wet- en

regelgeving. Zo heeft hij onder andere EasyPrivacy® ontworpen. EasyPrivacy® is software

(as-a-service) om privacy als proces te borgen en de naleving te monitoren en aantoonbaar

te maken.