Over het project

  • MKB,Onderwijs,Overig,Zorg
  • 05/08/2019
  • Bergen, NH
“De directie heeft besloten om cameratoezicht in te voeren volgende maand”. Met die boodschap belde een FG ons op. “Maar voor dat we daarmee aan de slag gaan moet er eerst een DPIA komen, heb ik als voorwaarde in het directie overleg gesteld”. De organisatie had daar geen ervaring mee, of DePrivacyGuru daarmee kon helpen. Wij voeren regelmatig DPIA’s uit. Daarvoor gebruiken wij een zelf ontwikkeld standaardmodel. In een aantal stappen worden de afwegingen besproken en vastgelegd. In relatief korte tijd tegen overzichtelijke kosten kunnen wij een DPIA uitvoeren. Het ophangen van de camera’s zou de volgende maand al starten. De tijd drong dus om de DPIA uit te voeren en deze voor te leggen aan de directie. Het feit dat de FG dit als voorwaarde had gesteld, legde een extra druk op de planning. Wij organiseerde een meteen een bijeenkomst met de stakeholders: een verwerker, in dit geval een medewerker van security, een OR-lid, een medewerker van de IT-afdeling en de FG. In de eerste bijeenkomst hebben we, op basis van ons voorwerk, de noodzakelijkheid en proportionaliteit besproken. Kunnen we dit anders oplossen zonder camera’s? Hoeveel camera’s worden geplaatst en zijn ze allen noodzakelijk? Vervolgens hebben we in een matrix de risico’s van het cameratoezicht in kaart gebracht en gevalideerd. Een week later vond de tweede bijeenkomst plaats waarin de door DePrivacyGuru gemaakt concept-DPIA werd besproken en gefinaliseerd. De FG ging met deze DPIA onder de arm vol vertrouwen binnen de gestelde termijn het directie overleg in.

Aanbeveling

Jason: Ik heb als FG nog nooit een DPIA uitgevoerd en zag er tegenop, met name omdat de tijdsdruk en het risico groot was. Het is dan fijn om een beroep te kunnen doen op een ervaren partij.

Het resultaat

  • Een DPIA die goed in kaart bracht waar de risico’s lagen
  • Een standpunt of van tevoren advies bij de Autoriteit Persoonsgegevens ingewonnen moest worden