De Algemene Gegevensverordening (AVG) versterkt op een aantal gebieden de bescherming van persoonsgegevens. Ter uitvoering daarvan worden veelal bedrijven maar ook overheden verplicht om een Privacy Impact Assessment uit te voeren. Goed om te weten is dat een PIA niet een puur compliance instrument is. Het is een methode om een goede afweging te maken bij beleidsvorming en om daarbij maatregelen te nemen ter bescherming van de persoonsgegevens.
De overheid zag het belang van een PIA voor haar diensten al onder de WBP in; sinds 2013 werd gewerkt met het toetsmodel Privacy Impact Assessment. Maar de komst van de AVG was onder andere aanleiding tot een herbezinning en evaluatie. De aanbevelingen uit het onderzoeksrapport Evaluatie toetsmodel PIA Rijksdienst uit 2016 leidde tot een nieuw model met ook een nieuwe naam: Model gegevensbeschermingseffectbeoordeling rijksdienst (PIA) van september 2017.
Wat zijn de belangrijkste wijzigingen?
- De naam: maar verwacht wordt dat in het dagelijks gebruik het gewoon Rijksmodel PIA blijft. Zorg echter dat je het juiste format gebruikt.
- Tijdig: Met de komst van het nieuwe toetsmodel tracht de Rijksoverheid het uitvoeren van PIA’s tijdig en altijd wanneer het nodig is, te doen. Zo wordt het privacy bewustzijn binnen de Rijksoverheid bevorderd.
Wanneer is een PIA verplicht?
Het doel van een PIA is om de bescherming van persoonsgegevens onderdeel uit te laten maken van het afwegingsproces bij beleidsvorming. Een PIA is dan ook verplicht wanneer er sprake is van hoge risico’s voor de rechten en vrijheden van de betrokkenen. Bij gebruik van nieuwe technologieën is sneller sprake van een hoog risico en daarom is een PIA in dat geval altijd verplicht.
Hetzelfde geldt voor:
- Systematische, uitgebreide en geautomatiseerde beoordeling van persoonlijke aspecten van betrokkenen, zoals profilering die kan leiden tot ingrijpende besluiten over personen;
- Grootschalige verwerking van bijzondere of strafrechtelijke gegevens;
- Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
Daarnaast mag de nationale toezichthouder, de Autoriteit Persoonsgegevens, een aanvullende lijst opstellen waarin een PIA verplicht is.
Wat moet een PIA bevatten?
- Een systematische beschrijving van de verwerking;
- Een beschrijving van de doeleinden, eventueel van de gerechtvaardigde belangen;
- Een beoordeling van de noodzaak en proportionaliteit gelet op de doeleinden;
- Een beoordeling van de risico’s voor betrokkenen;
- NIEUW: Beoogde maatregelen om risico’s aan te pakken.
Het laatste punt, de ‘beoogde maatregelen om risico’s aan te pakken’, is nieuw. Voorheen kon worden volstaan met maatregelen die werden aanbevolen om risico’s te downsizen, nú moet een PIA-rapport concrete maatregelen bevatten waartoe is besloten. Dat betekent dat in de PIA expliciet zal zijn te lezen welke maatregelen worden genomen. Dat is anders dan voorheen, vaak was dat een processtap na de PIA-rapportage. Nu zal die daarin zijn vastgelegd.
En tot slot
Organisaties hebben de verplichting om een PIA-rapport te actualiseren. De functionaris voor de gegevensbescherming of de Autoriteit Persoonsgegevens kan vervolgens aan de hand van een PIA-rapport toetsen of de privacy geborgd is.
Mocht u een PIA conform het nieuwe rijksmodel willen laten uitvoeren of heeft u vragen? Wij hebben hier reeds ervaring mee dus neem vrijblijvend contact op met DIGITALconfidence.
Recente reacties