Afl. 3 Data Protection Impact Assessment (PIA)

Verplichtingen door nieuwe privacy regelgevingDe komende tijd bespreekt Broeseliske Van Vlijmen Advocaten een aantal onderwerpen die voor elke ondernemer die persoonsgegevens verwerkt – en wie doet dat niet? – belangrijk zijn. Als handvat dient de brochure van het Ministerie van Justitie van april 2017, de link vindt u onderaan dit artikel. Vanaf 25 mei 2018 moet elke organisatie die persoonsgegevens verwerkt voldoen aan de Algemene Verordening Gegevensbescherming (AVG en in het Engels General Data Protection Regulation: GDPR).

Aflevering 3,  3 augustus 2017

Data Protection Impact Assessment (PIA)

De PIA helpt om risico’s in kaart te brengen en bij het veiligheidsrisico passende maatregelen te nemen. De AVG stelt een PIA verplicht als de verwerking een hoog privacyrisico voor betrokkenen inhoudt, in het bijzonder bij
a. gebruik van nieuwe technologieën
b. profilering, grootschalige verwerkingen van ‘bijzondere’ categorieën persoonsgegevens
c. stelselmatige monitoring in openbare ruimten.

De werkgroep WP29 heeft tien criteria opgesteld voor het uitvoeren van een PIA: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/privacy-impact-assessment-pia#in-welke-gevallen-moet-ik-een-pia-uitvoeren-5879. Als vuistregel geldt dat als aan twee van de tien wordt voldaan, een PIA verplicht is.

De Autoriteit Persoonsgegevens (AP) raadt aan om vrijwillig een PIA te doen. Dit komt niet alleen de gegevensbescherming ten goede, maar ook voor de organisatie zelf levert een PIA voordelen op, aldus de AP.

De PIA bevat ten minste:
a. een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
b. een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
c. een beoordeling van de risico's voor de rechten en vrijheden van betrokkenen;
d. de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan de AVG is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.

Als daar aanleiding voor is vraagt de verwerkingsverantwoordelijke de betrokkenen naar hun mening over de voorgenomen verwerking.

De resultaten van de PIA kunnen een organisatie verplichten contact op te nemen met de AP.