of 59179 LinkedIn

Privacy Impact Assessment (PIA)

Reageer

Afbeeldingmr. drs. P-A.T.A.M. van Egmond (Pim-André).

 

Bij Kamerbrief van 29 september 2017 heeft de Minister van Binnenlandse Zaken aan de Tweede Kamer het nieuwe model aangeboden voor “gegevensbeschermingseffectbeoordelingen”, ook wel Privacy Impact Assessments (PIA) genoemd. Dit model is tot stand gekomen in samenwerking met de Autoriteit Persoonsgegevens (AP) en zal vanaf heden worden gebruikt binnen de Rijksdienst. Het doel van dit model is om de bescherming van persoonsgegevens op een gestructureerde manier onderdeel te laten zijn van de belangenafweging en besluitvorming over voorgenomen gegevensverwerkingen binnen de Rijksdienst. Ook decentrale overheden kunnen hun voordeel doen met dit nieuwe model.

Wat is een PIA?

Een PIA legt in de eerste plaats de privacyrisico’s bloot van nieuwe (projecten en initiatieven) of bestaande verwerkingen van persoonsgegevens en draagt bij aan het vermijden of verminderen van deze privacyrisico’s. Door middel van een PIA wordt op systematische wijze inzichtelijk gemaakt hoe groot de kans is dat de privacy van de betrokkenen wordt geschaad, waar deze risico’s zich voordoen en welke gevolgen daaraan voor hen verbonden zijn. Een PIA is dus een risicoanalyse-instrument (en geen “compliance toets”), dat een praktische en bruikbare uitkomst dient op te leveren.

 

Een PIA bevat tenminste de volgende elementen:

– een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder – in voorkomend geval – de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;

– een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;

– een beoordeling van de risico’s voor de rechten en vrijheden van de betrokkenen; en

– de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan de AVG is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.


Wat levert een PIA op?

Het doel van een PIA is om al in een vroeg stadium bij het ontwerpen van een project (beleidsvoornemen, product of dienst) zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegevens af te dwingen. De inzichten die een PIA oplevert kunnen vervolgens worden gebruikt om het project verder te ontwikkelen. Na het uitvoeren van de PIA kan de verantwoordelijke zorgen dat maatwerk wordt geleverd, zodat in een later stadium geen kostbare aanpassingen of beëindiging van het project nodig zijn. Dit leidt als het goed is tot projecten waarin een zorgvuldige en rechtmatige verwerking van persoonsgegevens zijn gewaarborgd.


Wanneer verricht je een PIA?

Een PIA dient voorafgaand aan een nieuwe verwerkingen van persoonsgegevens te worden verricht als daarbij – kort gezegd – een nieuwe technologie wordt gebruikt of de verwerking een hoog risico inhoudt voor betrokkenen. Daarvan is in ieder geval sprake als persoonsgegevens geautomatiseerd worden verwerkt in het kader van “profiling”, grootschalige verwerking van bijzondere categorieën van persoonsgegevens of de stelselmatige en grootschalige monitoring van openbare ruimten.

Een PIA kan het beste in een vroeg stadium van een project worden gestart. Vervolgens kan de uitwerking van de PIA aansluiten bij de verdere uitwerking van het project. Op die manier helpt de PIA om het privacybelang structureel mee te nemen in het project. De PIA wordt daarmee een belangrijk onderdeel van het ontwerpproces.

Ook aanpassingen of wijzigingen van bestaande verwerkingen van persoonsgegevens rechtvaardigen een PIA. Ook wanneer de omstandigheden van een project tijdens de looptijd veranderen, is het raadzaam de PIA te herhalen en/of te evalueren bij de afsluiting van een project.


Meer informatie

Het team Overheid & Privacy weet welke privacy-issues spelen rondom gegevensverwerking bij de overheid. Neem voor meer informatie over dit onderwerp contact op met Pim-André van Egmond, E: pim-andre.vanegmond@nysingh.nl | T: 026 357 57 42.

Verstuur dit artikel naar Google+

Reageer op dit artikel
Even geduld a.u.b.