Privacy Impact Assessment

privacy impact assessment - PIA AVGIndien een organisatie een nieuwe verwerking gaat uitvoeren waarbij nieuwe technologie wordt gehanteerd, dan is de kans groot dat er een privacy impact assessment moet worden uitgevoerd. Wat is precies een privacy impact assessment en wanneer is deze verplicht?

Een privacy impact assessment (PIA) wordt ook wel een Data Protection Impact Assessment genoemd (DPIA). Een PIA wordt verplicht gesteld in artikel 35 AVG. De term die in de wet wordt gehanteerd is: gegevensbeschermingseffectbeoordeling.

Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico’s inhouden.

Wat is een privacy impact assessment (PIA)?

Een PIA is een hulpmiddel om risico’s van verwerkingen van persoonsgegevens in kaart te brengen. Hierbij wordt voornamelijk gekeken naar de risico’s voor de “rechten en vrijheden” van betrokkenen. Aan de hand van (meestal) een vragenlijst worden risico’s geïdentificeerd en tegelijkertijd maatregelen bedacht om die risico’s te beperken of weg te nemen.

Naast het in kaart brengen van risico’s helpt een PIA ook bij het stroomlijnen van (bedrijfs)processen rondom de verwerkingen van persoonsgegevens.

Awareness door uitvoeren PIA

Naast de inventarisatie van risico’s, heeft het uitvoeren van een PIA een zeer gunstig neveneffect: creëren van awareness. Wanneer een groep mensen een PIA uitvoeren, betekent dat dat ze bezig zijn met privacy en deze in het algemeen verder verbeteren voor de betrokkenen.

Na het uitvoeren van de PIA zie je terug dat de groep mensen die de PIA heeft uitgevoerd, sneller maatregelen zal nemen in andere processen en kennis over bijv. privacy by design eerder zal delen met collega’s.

Pré-PIA: moet ik een PIA uitvoeren?

Weet u niet of u een PIA moet gaan uitvoeren? Hieronder volgen een aantal vragen. Indien u twee of meer vragen met een “ja” beantwoordt is een PIA aan te raden.

  • Worden er grote hoeveelheden persoonsgegevens van een persoon verwerkt? (Ja/Nee)
    • Denk bijvoorbeeld aan het elektronisch patiëntendossier. 
  • Worden er persoonsgegevens van een grote groep personen verwerkt? (Ja/Nee)
    • Een CRM-systeem met klantgegevens.
  • Worden meerdere systemen met persoonsgegevens gekoppeld of samengevoegd? (Ja/Nee)
    • Het opmaken geavanceerdere profielen door databases aan een te sluiten.
  • Bestaat er een risico voor de privacy door gebruik van nieuwe technieken?
    • Je kan hierbij denken aan irisscanners, vingerafdrukscanners, camera’s, NFC-toepassingen, Bluetooth, etc.
  • Worden er bij de verwerking persoonsgegevens uitgewisseld met andere partijen?
    • Persoonsgegevens worden gedeeld met andere commerciële partijen.
  • Is data die in het verleden anoniem was, nu te herleiden tot personen?
    • Zoals een naamloze cadeaubon, naar een tegoedpas op naam.

Bovenstaande vragen geven slechts een indicatie voor de noodzakelijkheid van een PIA. Uiteindelijk zal elke situatie apart moeten worden beoordeeld.
Hoe dan ook kan het uitvoeren van een PIA kan voor een organisatie een goed proces zijn. Er ontstaat meer bekendheid met de privacywetgeving, meer inzicht in de eigen processen en een meer privacyvriendelijk perspectief.

Inhoud PIA

Waar moet een PIA precies aan voldoen? De Europese wetgever geeft in het zevende lid van art. 35 AVG een aantal verplichte onderdelen op:

  1. een stelselmatige uiteenzetting van de geplande verwerkingen en de doelen;
  2. een inschatting van de urgentie van de doelen;
  3. een inschatting van de risico’s voor personen waarvan je persoonsgegevens verwerkt;
  4. de verwachte maatregelen om de risico’s te beperken of weg te nemen.

Model Pia

Op basis van de pré-PIA wordt er besloten om een PIA uit te voeren. Hoe dan te beginnen?

Er bestaan reeds een aantal PIA-modellen die de verplichte bovenstaande onderdelen bevatten. De volgende PIA’s zijn kosteloos te downloaden en te gebruiken. Het enkel invullen van de vragen van een PIA is geen doel an sich. Belangrijk is om conclusies te trekken uit de zogenaamde gegevensbeschermingseffectbeoordeling en daarna te handelen.

Voorbeelden van PIA templates: