Dutch IT Chanel Logo mobile
Search icon
Redactie - 04 augustus 2017

Privacy Impact Assessment toegelicht

Privacy Wetgeving

In dit bericht besteden we aandacht aan een aantal grote veranderingen op privacy-gebied waarmee ICT-bedrijven geconfronteerd gaan worden. Reden van deze veranderingen zijn de nieuwe Europese privacy-regels uit de GDPR (General Data Protection Regulation); de Algemene verordening gegevensbescherming (Avg). Per 25 mei 2018 moet je bedrijfsvoering op de Avg aangepast zijn. In dit zesde deel van de serie over de Avg gaan we nader in op de Privacy Impact Assessment.

WAT IS EEN PRIVACY IMPACT ASSESSMENT?

Een Privacy Impact Assessment (PIA) is een verplicht instrument om vooraf na te denken over de privacy-risico’s van een bepaalde gegevensverwerking en deze risico’s vervolgens te verkleinen door aanpassingen te doen.

De Avg gebruikt in de Engelse versie de nieuwe term Data Privacy Impact Assessment (DPIA). De Nederlandse versie spreekt van “gegevensbeschermingseffectbeoordeling” – een mond vol, dus houden we het hier bij PIA.

IS HET NIEUW?

Ja, de brede verplichting is nieuw. En nee, het instrument PIA bestond al en was bijvoorbeeld verplicht voor de Rijksoverheid. Door sommige bedrijven werd dit instrument vrijwillig ingezet. Daarnaast bestond er de mogelijkheid om bij de Autoriteit Persoonsgegevens (AP) een voorafgaand onderzoek te vragen bij verwerkingen met bijzondere privacy-risico’s. Het past bij de grotere nadruk die de Avg legt op accountability om nu de onderzoeksplicht bij de bedrijven zelf neer te leggen.

WIE MOET EEN PIA DOEN?

De verantwoordelijke moet een Privacy Impact Assessment uitvoeren. Wil je weten wie de verantwoordelijke is? Kijk dan hier om een idee te krijgen van de privacy-basisbegrippen (zoals ‘verantwoordelijke’ en ‘verwerker/bewerker’), waarvan veel uitgangspunten ook onder de Avg gelijk blijven.

WAT IS MIJN ROL ALS VERWERKER BIJ EEN PIA?

Ben je verwerker en voert de verantwoordelijke (vaak: jouw klant) een PIA uit voor een verwerking van persoonsgegevens die jij voor hem doet? Dan moet je jouw klant daarbij ondersteunen door alle benodigde informatie te verstrekken. Het gaat dan bijvoorbeeld om informatie over de beveiligingsmaatregelen die in de software ingebouwd zijn. Verder gaat het om informatie over alle andere technische en organisatorische beveiligingsmaatregelen die je getroffen hebt om te helpen de privacy te waarborgen bij de gegevensverwerking.

HOE PAK IK ALS VERANTWOORDELIJKE EEN PIA AAN?

De eerste stap is uiteraard: bepaal of het uitvoeren van een PIA nodig is. Vervolgens ga je de PIA voorbereiden en vraag je (zo nodig) advies aan derden (zoals de Functionaris voor de Gegevensbescherming, betrokkenen en/of de verwerker). De kern van de PIA is het in kaart brengen van de verwerking (wat ga ik nu eigenlijk doen, met welk doel?) en de impact daarvan op de privacy (wat zijn de gevolgen voor de mensen van wie ik gegevens verwerk?). Vervolgens kijk je of je maatregelen kunt treffen om de privacy-impact te verkleinen.

Lukt het niet de impact terug te brengen tot een acceptabel niveau, dan ben je verplicht om de Autoriteit Persoonsgegevens te raadplegen. Tot slot maak je een rapportage waar je de uitkomsten van de PIA in opschrijft.

VOOR WELKE VERWERKINGEN MOET IK EEN PIA DOEN?

Je moet een PIA uitvoeren bij verwerkingen die mogelijk een groot privacy-risico met zich meebrengen. Bijvoorbeeld door de aard van de verwerking, de omvang, de context of het doel van de verwerking. In het bijzonder is een PIA nodig bij:

  • Grootschalige verwerking van bijzondere gegevens of
  • Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die gebaseerd is op geautomatiseerde verwerking (bijvoorbeeld profiling) en daarop gebaseerde beslissingen die die personen raken
  • Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten
  • Maar ook gekoppelde databases met informatie over kwetsbare groepen personen kan bijvoorbeeld aanleiding zijn voor het doen van een PIA.

OP WELK MOMENT MOET IK EEN PIA DOEN?

Tip: wacht niet tot 25 mei 2018, maar begin zo vroeg mogelijk met analyseren óf je een PIA moet doen en voer PIA’s zo vroeg mogelijk uit. Het is vroeg in het traject (bijvoorbeeld de ontwerpfase) vaak nog makkelijk om wijzigingen door te voeren en bijvoorbeeld aan je leverancier specifieke features te vragen, die later wellicht lastig in te bouwen zijn. Op deze manier geef je relatief eenvoudig invulling aan de wettelijk vereiste principes van privacy by design en default.

Dit betekent niet dat deze begrippen na het uitvoeren van de PIA geen rol meer spelen. Gegevensverwerkingen of inzichten kunnen veranderen en daardoor verandert wellicht ook de uitkomst van de PIA. Aanpassing of nogmaals uitvoeren van de PIA kan dan nodig zijn.

In samenwerking met Nederland ICT

Dutch IT events

Event icon

Event

Future of Business Technology - 23 april 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!