Privacy Impact Assessment

Privacyrisico’s inventariseren en beperken

Wanneer u onvoldoende inzicht heeft welke risico’s uw organisatie loopt met de verwerking van persoonsgegevens, is het verstandig een Privacy Impact Assessment (PIA) uit te laten voeren. Wij inventariseren hierbij de verwerkingen van persoonsgegevens, de bijbehorende risico’s voor de betrokkenen en mogelijke risicobeperkende maatregelen.

In sommige gevallen verplicht

Volgens de Algemene Verordening Gegevensbescherming (AVG) is een PIA verplicht wanneer uw gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Verantwoordelijken voor gegevensverwerkingen moeten dit risico zelf inschatten. De werkgroep van Europese privacytoezichthouders (WP29) heeft een lijst van negen criteria opgesteld die als leidraad kunnen worden gebruikt:

  1. Beoordelen van mensen op basis van persoonskenmerken
  2. Geautomatiseerde beslissingen
  3. Stelselmatige en grootschalige monitoring
  4. Gevoelige gegevens
  5. Grootschalige gegevensverwerkingen
  6. Gekoppelde databases
  7. Gegevens over kwetsbare personen
  8. Gebruik van nieuwe technologieën
  9. Blokkering van een recht, dienst of contract

Inhoud

Een Privacy Impact Asessment bevat minimaal de volgende zaken:

  • Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan
  • Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen
  • Een beoordeling van de privacyrisico’s voor de betrokkenen
  • De beoogde maatregelen om de risico’s aan te pakken en aan te tonen dat u aan de AVG voldoet

Op welk moment uitvoeren

De PIA moet zo vroeg als praktisch gezien mogelijk is in de ontwerpfase van de gegevensverwerking worden uitgevoerd. Ook als nog niet alle details van de verwerking bekend zijn. Door vroeg te beginnen, is het voor makkelijker om aan de (wettelijk vereiste) principes van privacy by design en privacy by default te voldoen.

 

Benieuwd naar hoe wij u kunnen ondersteunen? Onze experts staan voor u klaar Maak nu een afspraak