Een PIA of DPIA uitvoeren
Een PIA of DPIA (Privacy Impact Assessment) uitvoeren
“Profiteer van de voordelen, ook als het niet verplicht is.”
De Algemene Verordening Gegevensbescherming stelt het uitvoeren van een PIA (Privacy Impact Assessment) verplicht in een aantal gevallen. Wat vaak onvoldoende belicht wordt, zijn de voordelen van het uitvoeren van een dergelijke PIA (ook wel Data Protection Impact Assessment of DPIA genoemd).
Wij worden regelmatig ingeschakeld om een Privacy Impact Assessment uit te voeren. Niet omdat de opdrachtgever verplicht is om dit te doen, maar omdat er twijfels zijn of een bepaald proces of een bepaalde verwerking aan de Algemene Verordening Gegevensbescherming voldoet.
Hieronder leggen we uit hoe wij jouw twijfels wegnemen en welke voordelen een PIA oplevert. Ook benoemen we de criteria om vast te stellen of een uitvoering van een PIA verplicht is.
Een PIA door AVG compleet geeft de volgende voordelen:
Oog voor de bedrijfsvoering, wij denken mee
Gedetailleerde berschrijving van het proces
Praktische risico-analyse
Krachtige documentatie; begrijpelijk, volledig en AVG-proof
Duidelijke eindconclusie
Plan een vrijblijvende kennismaking
"*" geeft vereiste velden aan
Een Privacy Impact Assessment laten uitvoeren, welke methode gebruiken wij?
Als wij onderzoeken of een proces aan de AVG voldoet, hanteren we altijd de systematiek die aan elke PIA ten grondslag zou moeten liggen:
- Een gedetailleerde beschrijving van het proces of de verwerking
- Analyse van de juridische aspecten
- Inventarisatie van de bijkomende risico’s, met name lettend op de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens, daarnaast de juridische validiteit
- Feedback van de Functionaris Gegevensbescherming en betrokkenen (de personen waarvan persoonsgegevens worden verwerkt) of een vertegenwoordiging daarvan
- Eindconclusies
Gratis checklist privacybescherming implementeren
Er zijn een aantal aspecten die beslist aandacht verdienen als je wilt voldoen aan de AVG-wetgeving. Lees welke. Download gratis
Oog voor de bedrijfsvoering
Wij weten als geen ander dat voor de ondernemer of de organisatie de bedrijfsvoering net zo belangrijk is in het onderzoek als de privacy en security kanten. Zonder dat we concessies doen aan de juridische validiteit, denken we mee met de ondernemer of de organisatie op welke manier risico’s omlaag kunnen worden gebracht.
Praktische risico-analyse
Elk Privacy Impact Assessment moet een risico-analyse bevatten met betrekking tot de verwerking of het proces dat wordt onderzocht. Wij zijn allergisch voor het uitvoeren van risico analyses die geen duidelijke eindconclusies opleveren en waarbij je na afloop nog steeds niet weet waar je aan toe bent. Onze wijze van het analyseren en documenteren van risico’s is ontwikkeld vanuit een ondernemersperspectief: duidelijk, praktisch en hanteerbaar. Onze methode voldoet aan alle eisen die gesteld worden aan de risico-analyse in een Privacy Impact Assessment.
Krachtige documentatie
Onze methodiek van documenteren van een Privacy Impact Assessment onderscheidt zich positief op de volgende onderdelen:
- Begrijpelijk: de heldere en gestructureerde opzet is voor iedereen goed leesbaar
- Volledig: alle aspecten van het proces of de verwerking worden in de PIA beschreven
- AVG-proof: alle vereisten die aan een PIA worden gesteld, worden gedocumenteerd
Verplicht uitvoeren van een Privacy Impact Assessment – PIA
Een PIA moet vooraf worden uitgevoerd bij verwerkingen met een potentieel hoog risico voor de betrokkenen. Maar hoe weet u nu of er sprake is van een potentieel hoog risico? Als u zelf vindt dat er sprake is van een potentieel hoog risico, dan voert u in ieder geval een Privacy Impact Assessment uit. Denkt u zelf dat het wel mee valt of twijfelt u, dan kunt u onderstaande lijst controleren. Doe dit ook als u al begonnen bent met een bepaalde verwerking.
Tel hoeveel criteria een rol spelen bij de verwerking waar u aan wilt beginnen.
Criteria voor de te onderzoeken situatie:
- Evaluatie of scoretoekenning van betrokkenen,
- Geautomatiseerde besluitvorming met (mogelijk negatief) rechtsgevolg,
- Stelselmatige monitoring,
- Gevoelige gegevens of gegevens van zeer gevoelige aard
- Op grote schaal verwerkte gegevens,
- Matching of samenvoegen van databases,
- Gegevens met betrekking tot kwetsbare betrokkenen, zoals
- Kinderen
- Patiënten
- Werknemers
- Bejaarden
- Innovatief gebruik of toepassing van nieuwe technologische of organisatorische oplossingen,
- Als door de verwerking een betrokkene een recht niet kan uitoefenen, of geen beroep kan doen op een dienst of overeenkomst.
Is er meer dan 1 criterium aanwezig? Dan is het uitvoeren van een PIA verplicht.
Is er één of géén criterium aanwezig? Dan is het uitvoeren van een PIA niet verplicht
Vrijwillig uitvoeren van een PIA – Privacy Impact Assessment
De AVG, Algemene Verordening Gegevensbescherming, verbiedt niet dat een Privacy Impact Assessment vrijwillig wordt uitgevoerd, dus als er niet twee of meer van bovenstaande criteria aanwezig zijn. Dat kan het geval zijn als u twijfelt of een proces voldoende veilig wordt uitgevoerd. Of als u niet zeker bent of er nu wel of niet twee criteria spelen.
Door het (laten) uitvoeren van een PIA, volgens onze methodiek, komt u er achter of de verwerking of het proces (a) voldoet aan de AVG en (b) de risico’s voldoende onder controle zijn gebracht.
U krijgt dus zekerheid en vertrouwen in het proces, en als er nog acties uit de risico analyse komen, dan weet u ook wat er op uw ToDo lijst moet worden bijgeschreven.
Grondslagen voor een verwerking
Eén van de belangrijkste zaken die wij goed onderzoeken bij een Privacy Impact Assessment (PIA) is de grondslag van de verwerking.
Voor elke verwerking moet één grondslag van toepassing zijn. De onderstaande opties zijn geldige grondslagen.
- Noodzakelijk voor de uitvoering van een overeenkomst waar de betrokkene een partij bij is, of om een dergelijke overeenkomst tot stand te brengen
- Noodzakelijk om een wettelijke verplichting van de verwerkingsverantwoordelijke uit te voeren
- Noodzakelijk om de belangen van een persoon te behartigen voor een vitaal belang (‘leven en dood’)
- Noodzakelijk voor de vervulling van een taak van algemeen belang of openbaar gezag
- Noodzakelijk voor gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde, waarbij de belangen van de betrokkene minder zwaar wegen
- De betrokkene heeft toestemming
Kunt u de verwerking niet verantwoorden met één van deze grondslagen? Dan mag u de verwerking niet uitvoeren. Als wij u helpen met de uitvoering van een PIA, dan kijken we goed met u welke grondslag van toepassing is en welke aanvullende eisen moeten worden gesteld.
Toestemming
Toestemming is de lastigste grondslag voor verwerking. Er gelden vier criteria voor een geldige toestemming:
- In vrijheid gegeven (geen negatieve gevolgen als er geen toestemming wordt gegeven)
- Specifiek (de toestemming wordt voor een concreet doel gegeven)
- Geïnformeerd (uitleg over de toestemming wordt vooraf gegeven)
- Ondubbelzinnig (er is geen onduidelijkheid over waarvoor precies de toestemming geldt)
Het is aan u als Verwerkingsverantwoordelijke om aan te kunnen tonen dat de toestemming rechtmatig is verkregen.
Als deze grondslag de enige optie is om de verwerking uit te voeren, dan controleren wij of voor elke betrokkene bewezen kan worden hoe en wanneer de toestemming is gegeven en of er sprake is van werkelijke toestemming.
Uitdagingen bij Toestemming
Een goede toestemming verkrijgen en behouden is lastig:
- Toestemming moet altijd ingetrokken kunnen worden,
- Intrekken moet net zo eenvoudig kunnen als deze gegeven was,
- Na het intrekken van de toestemming is verdere verwerking van de gegevens illegaal,
- Toestemming moet vrijelijk gegeven worden,
- Een machtsongelijkheid tussen partijen zorgt er voor dat toestemming niet vrijelijk kan worden gegeven; een werknemer kan zelden toestemming geven aan de werkgever.
Hoewel je er soms niet onderuit kunt dat Toestemming de grondslag is voor een verwerking, is het vaak flinterdun ijs waar je overheen gaat. Wij onderzoeken altijd of er geen andere grondslag blijkt te zijn voor de verwerking.
Veel gestelde vragen (FAQ)
Wat is een PIA?
Een PIA ofwel Privacy Impact Assessment is een onderzoek naar de privacy aspecten van een nieuwe verwerking, met een potentieel hoog risico. In dit assessment onderzoek je of je de risico’s voor betrokkenen op het gebied van persoonsgegevens voldoende kunt borgen.
Wat staat er in een Privacy Impact Assessment?
In onze online basistraining AVG leggen wij uit wat er in een Privacy Impact Assessment of PIA moet staan. Je leert in 10 stappen de belangrijkste theorie van de AVG (Algemene Verordening Gegevensbescherming). Hierin worden o.a. behandeld: de basisprincipes van de AVG, persoonsgegevens, grondslagen van verwerking en nog meer. Klik op deze link om naar de training te gaan.
Wanneer is een Privacy Impact Assessment verplicht?
Een Privacy Impact Assessment is verplicht als er meer dan 1 criterium uit onderstaande lijst een rol speelt bij de verwerking:
- Evaluatie of scoretoekenning van betrokkenen,
- Geautomatiseerde besluitvorming met (mogelijk negatief) rechtsgevolg,
- Stelselmatige monitoring,
- Gevoelige gegevens of gegevens van zeer gevoelige aard,
- Op grote schaal verwerkte gegevens,
- Matching of samenvoegen van databases,
- Gegevens met betrekking tot kwetsbare betrokkenen zoals; kinderen, patiënten,werknemers of bejaarden.
- Innovatief gebruik of toepassing van nieuwe technologische of organisatorische oplossingen,
- Als door de verwerking een betrokkene een recht niet kan uitoefenen, of geen beroep kan doen op een dienst of overeenkomst.
Het proces loopt al, kan ik nu nog een Privacy Impact Assessment laten uitvoeren?
Ja, het is beter om alsnog een PIA te laten uitvoeren, dan helemaal niet.
Bent u al begonnen met een bepaalde verwerking, maar twijfelt u of een PIA, Privacy Impact Assessment, noodzakelijk was geweest? Controleer dan de lijst met criteria onder de vorige vraag en voer alsnog een PIA uit als blijkt dat er sprake is van meer dan één van de criteria.
Wat is een verwerking?
Een ander woord voor verwerking is een proces of procedure.
Wat houdt de grondslag van een verwerking in?
Grondslagen zijn de voorwaarden waaraan een verwerking van persoonsgegevens moet voldoen. De grondslag geeft aan wanneer een verwerking rechtmatig is. Meer uitleg hierover vind je in de Online basistraining AVG.