Indien een organisatie een nieuwe verwerking gaat uitvoeren waarbij nieuwe technologie wordt gehanteerd, dan is de kans groot dat er een privacy impact assessment moet worden uitgevoerd. Wat is precies een privacy impact assessment en wanneer is deze verplicht?
Een privacy impact assessment (PIA) wordt ook wel een Data Protection Impact Assessment genoemd (DPIA). Een PIA wordt verplicht gesteld in artikel 35 AVG. De term die in de wet wordt gehanteerd is: gegevensbeschermingseffectbeoordeling.
Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico’s inhouden.
Een PIA is een hulpmiddel om risico’s van verwerkingen van persoonsgegevens in kaart te brengen. Hierbij wordt voornamelijk gekeken naar de risico’s voor de “rechten en vrijheden” van betrokkenen. Aan de hand van (meestal) een vragenlijst worden risico’s geïdentificeerd en tegelijkertijd maatregelen bedacht om die risico’s te beperken of weg te nemen.
Naast het in kaart brengen van risico’s helpt een PIA ook bij het stroomlijnen van (bedrijfs)processen rondom de verwerkingen van persoonsgegevens.
Naast de inventarisatie van risico’s, heeft het uitvoeren van een PIA een zeer gunstig neveneffect: creëren van awareness. Wanneer een groep mensen een PIA uitvoeren, betekent dat dat ze bezig zijn met privacy en deze in het algemeen verder verbeteren voor de betrokkenen.
Na het uitvoeren van de PIA zie je terug dat de groep mensen die de PIA heeft uitgevoerd, sneller maatregelen zal nemen in andere processen en kennis over bijv. privacy by design eerder zal delen met collega’s.
Weet u niet of u een PIA moet gaan uitvoeren? Hieronder volgen een aantal vragen. Indien u twee of meer vragen met een “ja” beantwoordt is een PIA aan te raden.
Bovenstaande vragen geven slechts een indicatie voor de noodzakelijkheid van een PIA. Uiteindelijk zal elke situatie apart moeten worden beoordeeld.
Hoe dan ook kan het uitvoeren van een PIA kan voor een organisatie een goed proces zijn. Er ontstaat meer bekendheid met de privacywetgeving, meer inzicht in de eigen processen en een meer privacyvriendelijk perspectief.
Waar moet een PIA precies aan voldoen? De Europese wetgever geeft in het zevende lid van art. 35 AVG een aantal verplichte onderdelen op:
Op basis van de pré-PIA wordt er besloten om een PIA uit te voeren. Hoe dan te beginnen?
Er bestaan reeds een aantal PIA-modellen die de verplichte bovenstaande onderdelen bevatten. De volgende PIA’s zijn kosteloos te downloaden en te gebruiken. Het enkel invullen van de vragen van een PIA is geen doel an sich. Belangrijk is om conclusies te trekken uit de zogenaamde gegevensbeschermingseffectbeoordeling en daarna te handelen.
Voorbeelden van PIA templates: