24 juli 2017

De Avg uitgelegd deel 6: Privacy Impact Assessment

De Avg uitgelegd deel 6: Privacy Impact Assessment

In deze serie besteden we aandacht aan een aantal grote veranderingen op privacy-gebied waarmee ICT-bedrijven geconfronteerd gaan worden. Reden van deze veranderingen zijn de nieuwe Europese privacy-regels uit de GDPR (General Data Protection Regulation); de Algemene verordening gegevensbescherming (Avg). Per 25 mei 2018 moet je bedrijfsvoering op de Avg aangepast zijn. In dit zesde deel van de serie over de Avg gaan we nader in op de Privacy Impact Assessment.

Wat is een Privacy Impact Assessment?

Een Privacy Impact Assessment (PIA) is een verplicht instrument om vooraf na te denken over de privacy-risico’s van een bepaalde gegevensverwerking en deze risico’s vervolgens te verkleinen door aanpassingen te doen.

De Avg gebruikt in de Engelse versie de nieuwe term Data Privacy Impact Assessment (DPIA). De Nederlandse versie spreekt van “gegevensbeschermingseffectbeoordeling” – een mond vol, dus houden we het hier bij PIA.

Is het nieuw?

Ja, de brede verplichting is nieuw. En nee, het instrument PIA bestond al en was bijvoorbeeld verplicht voor de Rijksoverheid. Door sommige bedrijven werd dit instrument vrijwillig ingezet. Daarnaast bestond er de mogelijkheid om bij de Autoriteit Persoonsgegevens (AP) een voorafgaand onderzoek te vragen bij verwerkingen met bijzondere privacy-risico’s. Het past bij de grotere nadruk die de Avg legt op accountability om nu de onderzoeksplicht bij de bedrijven zelf neer te leggen.

Wie moet een PIA doen?

De verantwoordelijke moet een Privacy Impact Assessment uitvoeren. Wil je weten wie de verantwoordelijke is? Kijk dan hier om een idee te krijgen van de privacy-basisbegrippen (zoals ‘verantwoordelijke’ en ‘verwerker/bewerker’), waarvan veel uitgangspunten ook onder de Avg gelijk blijven.

Wat is mijn rol als verwerker bij een PIA?

Ben je verwerker en voert de verantwoordelijke (vaak: jouw klant) een PIA uit voor een verwerking van persoonsgegevens die jij voor hem doet? Dan moet je jouw klant daarbij ondersteunen door alle benodigde informatie te verstrekken. Het gaat dan bijvoorbeeld om informatie over de beveiligingsmaatregelen die in de software ingebouwd zijn. Verder gaat het om informatie over alle andere technische en organisatorische beveiligingsmaatregelen die je getroffen hebt om te helpen de privacy te waarborgen bij de gegevensverwerking.

Hoe pak ik als verantwoordelijke een PIA aan?

De eerste stap is uiteraard: bepaal of het uitvoeren van een PIA nodig is. Vervolgens ga je de PIA voorbereiden en vraag je (zo nodig) advies aan derden (zoals de Functionaris voor de Gegevensbescherming, betrokkenen en/of de verwerker). De kern van de PIA is het in kaart brengen van de verwerking (wat ga ik nu eigenlijk doen, met welk doel?) en de impact daarvan op de privacy (wat zijn de gevolgen voor de mensen van wie ik gegevens verwerk?). Vervolgens kijk je of je maatregelen kunt treffen om de privacy-impact te verkleinen.

Lukt het niet de impact terug te brengen tot een acceptabel niveau, dan ben je verplicht om de Autoriteit Persoonsgegevens te raadplegen. Tot slot maak je een rapportage waar je de uitkomsten van de PIA in opschrijft. We hebben voor onze leden een uitgebreid PIA stappenplan uitgewerkt. Deze is te vinden op MijnNederlandICT.

Voor welke verwerkingen moet ik een PIA doen?

Je moet een PIA uitvoeren bij verwerkingen die mogelijk een groot privacy-risico met zich meebrengen. Bijvoorbeeld door de aard van de verwerking, de omvang, de context of het doel van de verwerking. In het bijzonder is een PIA nodig bij:

  • Grootschalige verwerking van bijzondere gegevens of
  • Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die gebaseerd is op geautomatiseerde verwerking (bijvoorbeeld profiling) en daarop gebaseerde beslissingen die die personen raken
  • Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten

Maar ook gekoppelde databases met informatie over kwetsbare groepen personen kan bijvoorbeeld aanleiding zijn voor het doen van een PIA.

In het PIA stappenplan (gratis te downloaden voor leden via MijnNederlandICT) is nader uitgewerkt aan wat voor soort verwerkingen gedacht moet worden.

Op welk moment moet ik een PIA doen?

Tip: wacht niet tot 25 mei 2018, maar begin zo vroeg mogelijk met analyseren óf je een PIA moet doen en voer PIA’s zo vroeg mogelijk uit. Het is vroeg in het traject (bijvoorbeeld de ontwerpfase) vaak nog makkelijk om wijzigingen door te voeren en bijvoorbeeld aan je leverancier specifieke features te vragen, die later wellicht lastig in te bouwen zijn. Op deze manier geef je relatief eenvoudig invulling aan de wettelijk vereiste principes van privacy by design en default.

Dit betekent niet dat deze begrippen na het uitvoeren van de PIA geen rol meer spelen. Gegevensverwerkingen of inzichten kunnen veranderen en daardoor verandert wellicht ook de uitkomst van de PIA. Aanpassing of nogmaals uitvoeren van de PIA kan dan nodig zijn.

Wat als ik nog vragen heb?

Via de Helpdesk Juridisch geven onze juristen onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy. Nederland ICT organiseert ook verschillende workshops en bijeenkomsten. Leden van Nederland ICT kunnen kosteloos deelnemen. Ben je nog geen lid en wil je ook profiteren van deze en vele andere mogelijkheden van het lidmaatschap? Bekijk de voordelen!

Wil je maandelijkse een update ontvangen met nieuws, publicaties en andere informatie over de Avg? Meld je dan aan voor onze Avg nieuwsbrief.

mm
Helpdesk Juridisch We helpen je graag met juridische vragen. Neem contact op via: jurhelp@nederlandict.nl (0348) 49 36 36

Gerelateerd

Ook Eerste Kamer akkoord met nieuwe aftapwet

De nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) is met een grote meerderheid aangenomen door de Eerste Kamer. 50 van de 75 senatoren stemden in met de wet, die vanaf 1 januari 2018 gaat gelden. De afgelopen jaren was er veel protest tegen de nieuwe bevoegdheden binnen de Wiv, ook uit de ICT-sector. Het zal nu in de praktijk moeten blijken wat de impact van de wet is en of de mate van toezicht volstaat.

CSR: informatievoorziening cybersecurity voor bedrijfsleven moet beter

Er is een ernstig tekort aan informatie over cybersecurity bij het bedrijfsleven in Nederland. Dat constateert de Cyber Security Raad (CSR) in een advies dat vandaag (5/7) uitkomt. Op dit moment is er alleen tussen de overheid en vitale sectoren sprake van structurele uitwisseling van informatie. De CSR adviseert de overheid een landelijk dekkend stelsel voor informatievoorziening in te richten.

Workshop ‘Privacy, datalekken en de nieuwe privacy verordening’

29 aug

Wat is privacy? En welke regels gelden er voor het verwerken van persoonsgegevens? Wat is een datalek en welke boetes staan er op het niet voldoen aan de privacywetgeving? En wat verandert er in de nieuwe Europese wetgeving? Wil je hier meer over weten? Kom dan dinsdag 29 augustus 2017 naar de workshop “Privacy, datalekken en de nieuwe privacy verordening’.