Privacyrisico’s inventariseren en beperken
Wanneer u onvoldoende inzicht heeft welke risico’s uw organisatie loopt met de verwerking van persoonsgegevens, is het verstandig een Privacy Impact Assessment (PIA) uit te laten voeren. Wij inventariseren hierbij de verwerkingen van persoonsgegevens, de bijbehorende risico’s voor de betrokkenen en mogelijke risicobeperkende maatregelen.
In sommige gevallen verplicht
Volgens de Algemene Verordening Gegevensbescherming (AVG) is een PIA verplicht wanneer uw gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Verantwoordelijken voor gegevensverwerkingen moeten dit risico zelf inschatten. De werkgroep van Europese privacytoezichthouders (WP29) heeft een lijst van negen criteria opgesteld die als leidraad kunnen worden gebruikt:
- Beoordelen van mensen op basis van persoonskenmerken
- Geautomatiseerde beslissingen
- Stelselmatige en grootschalige monitoring
- Gevoelige gegevens
- Grootschalige gegevensverwerkingen
- Gekoppelde databases
- Gegevens over kwetsbare personen
- Gebruik van nieuwe technologieën
- Blokkering van een recht, dienst of contract
Inhoud
Een Privacy Impact Asessment bevat minimaal de volgende zaken:
- Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan
- Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen
- Een beoordeling van de privacyrisico’s voor de betrokkenen
- De beoogde maatregelen om de risico’s aan te pakken en aan te tonen dat u aan de AVG voldoet
Op welk moment uitvoeren
De PIA moet zo vroeg als praktisch gezien mogelijk is in de ontwerpfase van de gegevensverwerking worden uitgevoerd. Ook als nog niet alle details van de verwerking bekend zijn. Door vroeg te beginnen, is het voor makkelijker om aan de (wettelijk vereiste) principes van privacy by design en privacy by default te voldoen.