De Privacy Impact Assessment
De Privacy Impact Assessment onder de AVG
De Privacy Impact Assessment
De Algemene verordening gegevensbescherming noemt in art. 35 de verplichting om een “gegevensbeschermingseffectbeoordeling” op te stellen. Deze beoordeling staat beter bekend als Privacy Impact Assessment, afgekort tot PIA. Wat is dit nu eigenlijk?
Een Privacy Impact Assessment (PIA) wordt ook wel Data Protection Impact Assessment (DPIA) genoemd. Al sinds 1 september 2013 is het uitvoeren van een PIA binnen de Rijksdienst verplicht bij het ontwikkelen van nieuwe wetgeving en beleid aangaande de realisatie van nieuwe ICT-systemen, of grote databestanden. De PIA is vooralsnog geen verplicht instrument voor het bedrijfsleven. Zodra de algemene verordening gegevensbescherming van toepassing is, ontstaat er voor bepaalde organisaties echter wel een verplichting om een privacy impact assessment (PIA) uit te voeren. Dit is het geval indien een organisatie persoonsgegevens verwerkt en dit een groot privacy risico oplevert voor de betrokkenen. De Autoriteit Persoonsgegevens zal samen met de andere Europese privacytoezichthouders een lijst opstellen van alle soorten verwerkingen waarbij een organisatie verplicht wordt om een PIA uit te voeren.
Wat is een privacy impact assessment?
In Art 35 lid 1 Avg wordt de assessment omschreven als een beoordeling van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Het gaat hier dus om een voorafgaande inschatting van de privacygevolgen van een bepaalde verwerking van persoonsgegevens.
Een Privacy impact assessment is een hulpmiddel waarmee je als organisaties je privacyrisico’s op een heldere wijze in kaart kunt brengen. Door middel van een PIA is het mogelijk om inzicht te krijgen in de risico’s van de gegevensverwerking en kunnen er tijdig passende maatregelen worden genomen om eventuele risico’s te verkleinen. Op grond van art. 35 lid 7 Avg omvat een PIA tenminste:
- een systematische beschrijving van de beoogde verwerkingen en de doeleinden hiervan
- de beoordeling van de noodzaak en van de evenredigheid
- de beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen
- de Beoogde maatregelen om deze risico’s aan te pakken.
Toezichthouder
In art. 36 AVG is bepaald dat wanneer uit een assessment (de gegevensbeschermingseffectbeoordeling) blijkt dat er sprake is van een hoog risico, dat dan de toezichthouder moet worden geraadpleegd. De toezichthouder moet volgens art. 36 lid 2 binnen 8 weken reageren. Die termijn kan eventueel met nog 6 weken worden verlengd. Ook kan de termijn worden opgeschort als de toezichthouder om informatie heeft gevraagd en deze niet (tijdig) wordt verstrekt. In de reactie kan de toezichthouder advies geven over de voorgenomen verwerking. Ook kan de toezichthouder eventueel handhavend optreden.