Wat levert een PIA op?
Het uitvoeren van een PIA heeft onder meer de volgende doelen:
- Het voorkomen van kostbare aanpassingen in processen, herontwerpen of zelfs stopzetten van projecten;
- Het verminderen van de gevolgen van toezicht en handhaving;
- Het verbeteren van de kwaliteit van gegevens;
- Het verbeteren van de dienstverlening;
- Het verbeteren van besluitvorming;
- Het verhogen van het privacy-bewustzijn binnen de organisatie;
- Het verbeteren van de haalbaarheid van een project;
- Meer vertrouwen van bijvoorbeeld klanten en werknemers;
- Het verbeteren van de communicatie over privacy en de bescherming van persoonsgegevens.
Is een PIA verplicht?
Bij de ontwikkeling van nieuwe wetgeving is de Rijksoverheid verplicht om rekening te houden met de resultaten van een PIA. Hiervoor is een toetsmodel ontwikkeld. Met de inwerkingtreding van de Europese Privacy Verordening wordt in sommige gevallen een PIA verplicht. Een gegevensbeschermingseffectbeoordeling, zoals de Verordening het noemt, is verplicht in het geval dat er bij een verwerking gebruik wordt gemaakt van nieuwe technologieën, waarbij er wordt gelet op de aard, omvang, context en doeleinden, die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen. Wanneer er een Data Protection Officer of Functionaris voor de Gegevensbescherming is aangewezen, wordt advies over de PIA bij deze persoon ingewonnen.
PIA-Proces
Hoeveel tijd een PIA in beslag zal nemen, hangt af van de omstandigheden van het geval. Een PIA voor een eenvoudige gegevensverwerking zal enkele dagdelen in beslag nemen, inclusief het verzamelen van gegevens en het uitvoeren van een controle. Bij complexe zaken kan dit aardig oplopen. Toch is het de investering waard, aangezien met de uitkomst van een PIA omvangrijke schadeposten kunnen worden voorkomen of beperkt.
Belangrijke factoren die van invloed zijn, zijn:
- Het aantal belanghebbenden bij het project en de mate waarin er vragen of twijfels zijn over de consequenties voor privacy;
- De impact en het belang van het project op de organisatie en de samenleving;
- De (technische en organisatorische) complexiteit van de verwerking.
Voor het uitvoeren van een geslaagde PIA zullen de volgende stappen moeten worden genomen:
- Wie voert de PIA uit en op welke wijze?
- Verzamel informatie over het project;
- Vul de PIA vragenlijst in (zie bijlage);
- Beoordeel de impact en bedenk waar nodig maatregelen;
- Stel een PIA-verslag op;
- Laat (eventueel) een toets op de PIA uitvoeren.
PIA-vragenlijst
De PIA-vragenlijst is een hulpmiddel om privacyrisico’s in kaart te brengen en te bepalen welke het meeste aandacht nodig hebben. Uit het PIA-verslag moet blijken waar acties nodig zijn en of dit moet worden besproken met de verantwoordelijke om deze risico’s te beperken. Vanzelfsprekend kun je zelf een PIA uitvoeren, maar je kunt je hierbij ook laten bijstaan door een professional.
In bijgaande vragenlijst worden de volgende onderwerpen behandeld:
- Het type project;
- De gegevens;
- De betrokken partijen;
- Het verzamelen van gegevens;
- Het gebruik van gegevens;
- Het bewaren van gegevens;
- Het beveiligen van gegevens;
- De meldplicht datalekken.
Je kunt de vragenlijst links van dit artikel downloaden.
Mis je bepaalde vragen in de vragenlijst? Help anderen en beschrijf de vraag hieronder.
Bron: Redactie Riskworld, Autoriteit Persoonsgegevens, Beroepsorganisatie van IT-auditors (NOREA)Download bijlagen
Je moet lid zijn van Riskworld om bijlagen te downloaden. Word gratis lid of log in.
