Een PIA of DPIA uitvoeren
Een PIA of DPIA (Privacy Impact Assessment) uitvoeren
“Profiteer van de voordelen, ook als het niet verplicht is.”
De Algemene Verordening Gegevensbescherming stelt het uitvoeren van een PIA (Privacy Impact Assessment) verplicht in een aantal gevallen. Ook als een PIA niet verplicht is, kan het wel heel nuttig zijn die uit te voeren.
Wij worden regelmatig ingeschakeld om een Privacy Impact Assessment uit te voeren. Zo komt onze opdrachtgever er achter of een bepaalde verwerking van persoonsgegevens voldoet aan de AVG. Tevens dwingt het de betrokken medewerkers om goed na te denken over het gehele proces, de wettelijke basis van de verwerking, de organisatorische en technische maatregelen die genomen moeten worden en de risico’s op het gebied van gegevensbescherming. Om nog maar te zwijgen over de informatieplicht waaraan voldaan moet worden.
Hieronder leggen we jou uit welke voordelen een PIA oplevert. Ook benoemen we de criteria om vast te stellen of een uitvoering van een PIA verplicht is. Ook benoemen we de criteria om vast te stellen of een uitvoering van een PIA verplicht is.
Een PIA door AVG Compleet geeft de volgende voordelen:
Oog voor de bedrijfsvoering, wij denken mee
Gedetailleerde beschrijving van het proces
Praktische risico-analyse
Krachtige documentatie: begrijpelijk, volledig en AVG-proof
Duidelijke eindconclusie
Plan een vrijblijvende kennismaking
"*" geeft vereiste velden aan
Een Privacy Impact Assessment laten uitvoeren, welke methode gebruiken wij?
Als wij onderzoeken of een proces aan de AVG voldoet, hanteren we altijd de systematiek die aan elke PIA ten grondslag zou moeten liggen:
- Een gedetailleerde beschrijving van het proces of de verwerking
- Analyse van de juridische aspecten
- Inventarisatie van de bijkomende risico’s, met name lettend op de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens, daarnaast de juridische validiteit
- Feedback van de Functionaris Gegevensbescherming en betrokkenen (de personen waarvan persoonsgegevens worden verwerkt) of een vertegenwoordiging daarvan
- Eindconclusies
Gratis checklist privacybescherming implementeren
Er zijn een aantal aspecten die beslist aandacht verdienen als je wilt voldoen aan de AVG-wetgeving. Lees welke. Download gratis
Oog voor de bedrijfsvoering
Wij weten als geen ander dat voor de ondernemer of de organisatie de bedrijfsvoering net zo belangrijk is in het onderzoek als de privacy en security kanten. Zonder dat we concessies doen aan de juridische validiteit, denken we mee met de ondernemer of de organisatie op welke manier risico’s omlaag kunnen worden gebracht.
Praktische risico-analyse
Elk Privacy Impact Assessment moet een risico-analyse bevatten met betrekking tot de verwerking of het proces dat wordt onderzocht. Wij zijn allergisch voor het uitvoeren van risico analyses die geen duidelijke eindconclusies opleveren en waarbij je na afloop nog steeds niet weet waar je aan toe bent. Onze wijze van het analyseren en documenteren van risico’s is ontwikkeld vanuit een ondernemersperspectief: duidelijk, praktisch en hanteerbaar. Onze methode voldoet aan alle eisen die gesteld worden aan de risico-analyse in een Privacy Impact Assessment.
Krachtige documentatie
Onze methodiek van documenteren van een Privacy Impact Assessment onderscheidt zich positief op de volgende onderdelen:
- Begrijpelijk: de heldere en gestructureerde opzet is voor iedereen goed leesbaar
- Volledig: alle aspecten van het proces of de verwerking worden in de PIA beschreven
- AVG-proof: alle vereisten die aan een PIA worden gesteld, worden gedocumenteerd
Verplicht uitvoeren van een Privacy Impact Assessment – PIA
Een PIA moet vooraf worden uitgevoerd bij verwerkingen met een potentieel hoog risico voor de betrokkenen. Maar hoe weet je nu of er sprake is van een potentieel hoog risico? Als je zelf vindt dat er sprake is van een potentieel hoog risico, dan voer je in ieder geval een Privacy Impact Assessment uit. Denk je zelf dat het wel mee valt of twijfel je, dan kun je onderstaande lijst controleren. Doe dit ook als je al begonnen bent met een bepaalde verwerking.
Tel hoeveel criteria een rol spelen bij de verwerking waar je aan wilt beginnen.
Cameratoezicht of camerabeveiliging in publiek toegankelijke ruimtes;
Grootschalige verwerking van gezondheidsgegevens;
Controle werknemers zoals GPS in (vracht-)auto’s, email- en internetgebruik;
Het uitvoeren van heimelijk onderzoek zonder de betrokkene op de hoogte te stellen;
Observatie en beïnvloeding van gedrag;
Het delen van persoonsgegevens in of door samenwerkingsverbanden;
Innovatief gebruik of toepassing van nieuwe technologische of organisatorische toepassingen.
Voor het complete overzicht download hier de publicatie uit de Staatscourant.
Cameratoezicht of camerabeveiliging in publiek toegankelijke ruimtes;
Grootschalige verwerking van gezondheidsgegevens;
Controle werknemers zoals GPS in (vracht-)auto’s, email- en internetgebruik;
Het uitvoeren van heimelijk onderzoek zonder de betrokkene op de hoogte te stellen;
Observatie en beïnvloeding van gedrag;
Het delen van persoonsgegevens in of door samenwerkingsverbanden;
Innovatief gebruik of toepassing van nieuwe technologische of organisatorische toepassingen.
Voor het complete overzicht download hier de publicatie uit de Staatscourant.
Vrijwillig uitvoeren van een PIA – Privacy Impact Assessment
De AVG, Algemene Verordening Gegevensbescherming, verbiedt niet dat een Privacy Impact Assessment vrijwillig wordt uitgevoerd.
Door het (laten) uitvoeren van een PIA, volgens onze methodiek, kom je er achter of de verwerking of het proces (a) voldoet aan de AVG en (b) de risico’s voldoende onder controle zijn gebracht.
Je krijgt dus zekerheid en vertrouwen in het proces, en als er nog acties uit de risico analyse komen, dan weet je ook wat er op jouw ToDo lijst moet worden bijgeschreven.
Grondslagen voor een verwerking
Eén van de belangrijkste zaken die wij goed onderzoeken bij een Privacy Impact Assessment (PIA) is de grondslag van de verwerking.
Voor elke verwerking moet één grondslag van toepassing zijn. De onderstaande opties zijn geldige grondslagen.
- Noodzakelijk voor de uitvoering van een overeenkomst waar de betrokkene een partij bij is, of om een dergelijke overeenkomst tot stand te brengen
- Noodzakelijk om een wettelijke verplichting van de verwerkingsverantwoordelijke uit te voeren
- Noodzakelijk om de belangen van een persoon te behartigen voor een vitaal belang (‘leven en dood’)
- Noodzakelijk voor de vervulling van een taak van algemeen belang of openbaar gezag
- Noodzakelijk voor gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde, waarbij de belangen van de betrokkene minder zwaar wegen
- De betrokkene heeft toestemming
Kun je de verwerking niet verantwoorden met één van deze grondslagen? Dan mag je de verwerking niet uitvoeren. Als wij je helpen met de uitvoering van een PIA, dan kijken we goed met jou welke grondslag van toepassing is en welke aanvullende eisen moeten worden gesteld.
Toestemming
Toestemming is de lastigste grondslag voor verwerking. Er gelden vier criteria voor een geldige toestemming:
- In vrijheid gegeven (geen negatieve gevolgen als er geen toestemming wordt gegeven)
- Specifiek (de toestemming wordt voor een concreet doel gegeven)
- Geïnformeerd (uitleg over de toestemming wordt vooraf gegeven)
- Ondubbelzinnig (er is geen onduidelijkheid over waarvoor precies de toestemming geldt)
Het is aan jou als verwerkingsverantwoordelijke om aan te kunnen tonen dat de toestemming rechtmatig is verkregen.
Wij onderzoeken altijd of er geen betere en stabielere grondslag blijft te zijn voor de verwerking.
Uitdagingen bij Toestemming
Een goede toestemming verkrijgen en behouden is lastig:
- Toestemming moet altijd ingetrokken kunnen worden,
- Intrekken moet net zo eenvoudig kunnen als deze gegeven was,
- Na het intrekken van de toestemming is verdere verwerking van de gegevens illegaal,
- Toestemming moet vrijelijk gegeven worden,
- Een machtsongelijkheid tussen partijen zorgt er voor dat toestemming niet vrijelijk kan worden gegeven; een werknemer kan zelden toestemming geven aan de werkgever.
Hoewel je er soms niet onderuit kunt dat toestemming de grondslag is voor een verwerking, is het vaak flinterdun ijs waar je overheen gaat. Wij onderzoeken altijd of er geen andere grondslag blijkt te zijn voor de verwerking.
Veel gestelde vragen (FAQ)
Wat is een PIA?
Een PIA ofwel Privacy Impact Assessment is een onderzoek naar de privacy aspecten van een nieuwe verwerking, met een potentieel hoog risico. In dit assessment onderzoek je of je de risico’s voor betrokkenen op het gebied van persoonsgegevens voldoende kunt borgen.
In onze online basistraining AVG leggen wij uit wat er in een Privacy Impact Assessment of PIA is. Klik op deze link om naar de training te gaan.
Wat staat er in een Privacy Impact Assessment?
- Een gedetailleerde beschrijvingvan het proces of de verwerking
- Analyse van de juridische aspecten
- Inventarisatie van de bijkomende risico’s, met name lettend op de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens, daarnaast de juridische validiteit
- Feedback van de Functionaris Gegevensbeschermingen betrokkenen (de personen waarvan persoonsgegevens worden verwerkt) of een vertegenwoordiging daarvan
- Eindconclusies
In onze online basistraining AVG leggen wij uit wat er in een Privacy Impact Assessment of PIA moet staan. Je leert in 10 stappen de belangrijkste theorie van de AVG (Algemene Verordening Gegevensbescherming). Hierin worden o.a. behandeld: de basisprincipes van de AVG, persoonsgegevens, grondslagen van verwerking en nog meer. Klik op deze link om naar de training te gaan.
Wanneer is een Privacy Impact Assessment verplicht?
Een Privacy Impact Assessment is verplicht als er meer dan 1 criterium uit onderstaande lijst een rol speelt bij de verwerking:
- Evaluatie of scoretoekenning van betrokkenen,
- Geautomatiseerde besluitvorming met (mogelijk negatief) rechtsgevolg,
- Stelselmatige monitoring,
- Gevoelige gegevens of gegevens van zeer gevoelige aard,
- Op grote schaal verwerkte gegevens,
- Matching of samenvoegen van databases,
- Gegevens met betrekking tot kwetsbare betrokkenen zoals; kinderen, patiënten,werknemers of bejaarden.
- Innovatief gebruik of toepassing van nieuwe technologische of organisatorische oplossingen,
- Als door de verwerking een betrokkene een recht niet kan uitoefenen, of geen beroep kan doen op een dienst of overeenkomst.
In onze online basistraining AVG gaan we hier uitgebreid op in. Klik op deze link om naar de training te gaan.
Het proces loopt al, kan ik nu nog een Privacy Impact Assessment laten uitvoeren?
Ja, het is beter om alsnog een PIA te laten uitvoeren, dan helemaal niet.
Bent u al begonnen met een bepaalde verwerking, maar twijfelt u of een PIA, Privacy Impact Assessment, noodzakelijk was geweest? Controleer dan de lijst met criteria onder de vorige vraag en voer alsnog een PIA uit als blijkt dat er sprake is van meer dan één van de criteria.
Wat is een verwerking?
Een ander woord voor verwerking is een proces of procedure.
Wat houdt de grondslag van een verwerking in?
Grondslagen zijn de voorwaarden waaraan een verwerking van persoonsgegevens moet voldoen. De grondslag geeft aan wanneer een verwerking rechtmatig is. Meer uitleg hierover vind je in de Online basistraining AVG.