Privacy Impact Assessment
PIA?
Een Privacy Impact Assessment (hierna PIA) of Data Protection Impact Assessment is een onderzoek op het effect welke handelingen van een organisatie hebben op de privacy (van de personen wiens gegevens bij de handelingen verwerkt worden). Een PIA is een hulpmiddel om de risico’s en rechten van privacy voor betrokkenen in kaart te brengen zodat deze gecontroleerd kunnen worden. Met een PIA kan een organisatie niet alleen maatregelen nemen om te zorgen dat risico’s worden aangepakt maar ook aantonen dat de (voorgenomen) handelingen voldoen aan de privacywetgeving.
Verplicht?
Tot 25 mei 2018 zijn organisaties nog niet verplicht om een DPIA uit te voeren. Na dat moment is de overgangsfase van de Algemene Gegevens Verordening (AVG) voorbij en is een DPIA voor bedrijven verplicht in de volgende situaties:
- Bij profiling; onderzoek waarbij geautomatiseerd een profiel van personen wordt opgesteld,
- Bij analyse van personen op basis waarvan de organisatie een beslissing maakt die ‘effect’ heeft op deze personen,
- Bij verwerking van bijzondere persoonsgegevens ( het BSN) op grote schaal,
- Bij het monitoren in openbare ruimtes (bv. Cameratoezicht)
- Bij alle situaties waarbij een hoog risico voor de privacy de betreffende personen ontstaat.
Wanneer deze situaties zich voordoen staat niet in de AVG maar de Artikel 29 werkgroep (een Europees adviesorgaan voor privacy) geeft hier wel enige invulling aan. Bij twijfel of een DPIA nodig is of uitvoeren van een DPIA kan een expert, zoals Waldan u helpen.
Hoe een DPIA uitvoeren.
Er is geen vast formulier voor een DPIA, maar een DPIA moet wel voldoen aan bepaalde eisen. De eisen zijn terug te vinden in de overwegingen en in artikel 35 lid 7 van de AVG. Van de (geplande) handelingen moet getoetst worden of deze juridisch gezien nodig en passend zijn. De PIA is door Europa met de risicomanagement benadering van ISO in gedachte ontworpen zodat er veel overlap is. De PIA moet systematisch/technisch aangeven wat het effect op de privacy voor de personen in kwestie is en hoe de risico’s aangepakt worden. De PIA is dus een hybride (niet zuiver juridisch) instrument om de privacy te toetsen.
Stappenplan.
Een PIA bevat als proces de volgende stappen:
- Vaststellen of PIA nodig is.
- Samenstellen team en het onderwerp van de PIA.
- Analyse van de relevante verwerkingen van de handeling en de effecten op de privacy.
- Overleg met belanghebbenden.
- Risicomanagement, technisch toetsen van de effecten.
- Juridische en Compliance controle van de effecten.
- Opstellen aanbevelingen voor de organisatie.
- Samenstellen en publiceren van de PIA.
- Invoeren van de aanbevelingen van de PIA.
- Controle van de ingevoerde maatregelen (audit).
- Beschrijving effect van de maatregelen van de PIA op de privacy/situatie.
Voordelen versus weerstand. Bij het bedenken van de PIA voorzag Europa al dat politici en burgers de PIA ervaren als een bureaucratisch instrument dat zinloos, kostbaar en tijdrovend zou zijn. Ook wilde men voorkomen dat het een (generiek) afvinklijstje zou worden of een papieren tijger. Om dat tegen te gaan heeft Europa de PIA voor bepaalde situaties verplicht gesteld. Ook benadrukt Europa dat een PIA ook voordelen kent. Deze voordelen lijken sterk op de voordelen van het gebruik van een (ISO) kwaliteitssysteem: voorkoming en betere aanpak van risico’s, aantonen te voldoen aan wetgeving, vertrouwen van klanten en betrokken personen, voorkomen van ontwikkelen van systemen die niet privacy-proof zijn, die vervolgens hersteld/ingetrokken moeten worden om te voldoen aan de wetgeving. Via onder andere de PIA wil Europa het gedachtegoed van privacy beschermen.
Kosten en complexiteit.
Mooie voordelen, maar hoe zit het in praktijk? Eigenlijk hoorde privacy bij nieuwe en bestaande werkzaamheden altijd al in gedachte te worden genomen als onderdeel van de bedrijfsvoering. Maar de wettelijke verplichting brengt wel extra verplichtingen mee in termen van verslaglegging en doet daarmee precies wat voorzien werd: een extra belasting van de organisatie. De tijd, middelen en kosten van een PIA worden bepaald door:
- omvang van de persoonsgegevens,
- de impact op de privacy,
- het aantal betrokken partijen,
- het beleid en de huidige processen van de organisatie,
- de volwassenheid en complexiteit van relevante handelingen en van al het voorgaand.
De notie dat een PIA specifiek op een situatie toegesneden moet worden maakt dat een inschatting steeds per geval zal moeten worden gemaakt, al is standaardisatie tot op zekere hoogte wel mogelijk.
0 reacties