Een DPIA is zo eenvoudig nog niet
Instellingen voeren regelmatig zelfstandig DPIA’s* uit op systemen en applicaties. In het najaar van 2025 vroegen we de privacycommunity van SURF een vragenlijst in te vullen over de DPIA om in kaart te brengen waar de organisaties tegenaan lopen tijdens een DPIA-traject. Aan deze peiling deden 44 instellingen mee, verspreid over de sector.
Uit de antwoorden blijkt dat het maken van een DPIA zo eenvoudig nog niet is: het is veel werk en bovendien complex. Er is veel behoefte om DPIA’s op dezelfde systemen inhoudelijk met elkaar te vergelijken. Deze, en andere bevindingen en hoe we samen kunnen werken op dit vlak, lees je in dit artikel.
* DPIA, ‘Data Protection Impact Assessment’, een extensieve risicoanalyse
Verschillende stakeholders
In het vakgebied van de privacyprofessional is de DPIA geen onbekende. Het is de risicoanalyse die een organisatie verplicht moet uitvoeren als een verwerking van persoonsgegevens een hoog risico met zich meebrengt. En alhoewel de verantwoordelijkheid voor het uitvoeren van DPIA’s in de eerste lijn van de organisatie ligt en er verschillende stakeholders moeten worden betrokken, is het vaak de privacy officer die het DPIA-traject trekt. Bij sommige instellingen gaat hun rol al meer richting een adviseursrol, maar dat is lang niet overal zo (en bij kleinere organisaties is dat überhaupt lastig).
De deelnemers aan het onderzoek zijn het erover eens dat het moeilijk is om in de DPIA inhoudelijk de juiste aspecten te verwerken. Het is bovendien geen onderzoek dat je even op een rustige woensdagmiddag uitvoert. Maar hoe transparanter het proces en de inhoud is, hoe makkelijker de eerste lijn de verantwoordelijkheid rondom het uitvoeren ervan daadwerkelijk op zich neemt. beleggen, de plek waar de risicobereidheid ligt. Hoe kunnen we hier samen vervolgstappen zetten?
Het team van SURF Vendor Compliance voert uitgebreide compliance- en DPIA-trajecten uit in opdracht van de sector. Hier gaat het om complexe risicoanalyses van vaak grotere marktspelers, zoals Google, Zoom, Microsoft, etc. In de sector onderwijs & onderzoek maken organisaties ook hun eigen DPIA’s op de verwerking van persoonsgegevens in hun verschillende processen en systemen/applicaties. Dit artikel gaat het over de DPIA’s die de organisaties zelf uitvoeren.
Wens om DPIA’S te vergelijken
Vrijwel alle instellingen willen graag hun DPIA inhoudelijk vergelijken met die van een andere organisatie over hetzelfde proces of systeem/applicatie. Ook is het erg gewenst om de mogelijkheid te hebben aan een collega van een andere instelling een vraag te kunnen stellen of te sparren. Meer templates zijn heel welkom; er wordt nadrukkelijk naar versimpeling gezocht. Nagenoeg alle respondenten zoeken mogelijkheden om tijd te besparen én een hogere kwaliteit van de eigen DPIA’s te realiseren.
De behoefte voor FG’s ligt weer net even anders. Denk aan het vergelijken van advies over een DPIA. Hoe doen collega’s dat procedureel en inhoudelijk? Wat neem je op in je jaarverslag en wat niet?
Verschillende DPIA-formats in gebruik
Uit het onderzoek blijkt dat de helft van de organisaties een eigen format gebruikt, meestal gebaseerd op een ander model (vaak op het DPIA-model Rijksoverheid), of soms op een combinatie van verschillende modellen. Ook voert ongeveer de helft van de respondenten met regelmaat een DPIA-light uit: een DPIA in ‘afgeslankte’ vorm, korter.
Publicatie van DPIA’s, ja of nee?
De AP raadt aan om zo transparant mogelijk te zijn over DPIA’s. Zij adviseert dan ook om DPIA’s te publiceren. Maar in de praktijk is dit niet altijd eenvoudig. Ruim 40% van de respondenten publiceert de DPIA's niet omdat ze vertrouwelijk zijn. Ongeveer hetzelfde percentage publiceert wel, maar alleen intern, soms voor een specifieke doelgroep en vaak alleen op aanvraag. Drie van de deelnemende instellingen publiceert soms een DPIA. Publiceren is om twee redenen lastig: er kunnen kwetsbaarheden in staan vermeld die men vertrouwelijk wil houden. Vaak vindt men het beter een DPIA pas te delen als men deze inhoudelijk kan toelichten. De DPIA is dus lang niet altijd vertrouwelijk, maar ook dan publiceert men deze niet zonder meer. De behoefte om de inhoudelijke toelichting te geven, illustreert dat het geen gemakkelijke kost is. Een besloten kennisbank helpt dan om onderling kennis en ervaringen uit te wisselen.
Wat kunnen instellingen elkaar bieden?
Instellingen zoeken niet alleen vergelijkingsmateriaal en templates, ze bieden zelf ook iets: de bereidheid hun DPIA’s in een besloten omgeving te delen of aan te geven welke DPIA’s er zijn uitgevoerd, zodat er één-op-één vergelijking mogelijk is. Verder geeft een aantal instellingen aan een fijn, eigen model te gebruiken wat ze graag delen. Ook zijn ze graag bereid te sparren en collega’s te helpen als er specifieke vragen zijn.
Hoe verder?
Met de resultaten weten we nu aan welke ondersteuning behoefte is. De vervolgstap is om te kijken hoe we dat kunnen invullen. SURF gaat in samenwerking met de privacycommunity SCIPR bekijken op welke manier we de instellingen het beste samen kunnen laten optrekken in het delen van DPIA’s, kennis, ervaring en best practices.
Denk mee!
Heb je praktische tips en/of wil je meedenken over een DPIA-kennisbank?
