Wanneer een (Data) Privacy Impact Assessment uitvoeren?
De Privacy Impact Assessment (PIA) is een nieuwe eis die de AVG voor veel organisaties stelt. Een PIA wordt nu al regelmatig op vrijwillige basis uitgevoerd. In dit artikel wordt kort toegelicht wanneer het verplicht is om een PIA uit te voeren en in hoeverre het raadzaam is om een PIA uit te voeren wanneer deze wettelijke verplichting ontbreekt.
De wettelijke grondslag van een PIA is terug te vinden in artikel 35 van de AVG. Organisaties die zijn aan te merken als verwerkingsverantwoordelijke, zijn verplicht om een PIA uit te voeren als zij gegevens verwerken die gelet op de aard, de omvang, context en doeleinden een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen.
‘een hoog risico’
Wanneer is er nu sprake van ‘een hoog risico’? Dit is een open norm die gaandeweg meer vorm is gaan krijgen. Volgens de AVG is er in ieder geval sprake van een hoog risico in de onderstaande situaties:
- Bij systemen die geautomatiseerd zijn en natuurlijke personen profileren. Een voorbeeld is een systeem dat automatisch controleert of u in aanmerking komt voor een financiële lening.
- Wanneer bijzondere categorieën persoonsgegevens op grote schaal verwerkt worden;
- Bij stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
De Autoriteit Persoonsgegevens heeft tevens een lijst gepubliceerd waarin staat aangegeven voor welke soorten verwerkingen een PIA verplicht is. Ook heeft het Europese orgaan waar alle Europese toezichthouders deel van zijn (WP29) guidelines gepubliceerd die hier te raadplegen zijn.
De Autoriteit Persoonsgegevens stelt dat een PIA verplicht is bij onderstaande soorten verwerkingen. Vanzelfsprekend worden er meer eisen gesteld aan de deze verwerkingen. Voor bijna alle verwerkingen geldt dat de verwerking grootschalig en systematisch moet zijn.
- Heimelijk onderzoek
- Zwarte lijsten
- Fraudebestrijding
- Kredietscores
- Financiële situaties
- Genetische gegevens
- Gezondheid gegevens
- Samenwerkingsverbanden
- Camera toezicht
- Flexibel cameratoezicht
- Controle werknemers
- Locatiegegevens
- Communicatiegegevens
- Internet of things
- Profilering
- Observatie en beïnvloeding
‘nieuwe technologieën’
In artikel 35 van de AVG wordt in het bijzonder gerefereerd aan ‘nieuwe technologieën’. Het komt er kort gezegd op neer dat indien u overgaat op een nieuw systeem het ten zeerste is aan te raden om een PIA uit te voeren. Hiermee beoordeelt u of uw systeem en de primaire bedrijfsprocessen die afhankelijk zijn van dat systeem risico’s bevatten die privacygevoelig zijn. Bent u wettelijk niet verplicht tot het uitvoeren, maar gaat u over op een nieuw systeem waarbij het verwerken van persoonsgegevens een belangrijk bedrijfsproces is? Voer een PIA uit en voorkom ontwerpfouten.
Voordelen
Naast de wettelijke verplichting van een PIA heeft het simpelweg veel voordelen. Een PIA draagt bij aan de privacyawareness binnen uw organisatie, risico’s worden ondervangen en beperkt en de systemen worden beter ingericht.
Meer informatie?
Worstelt uw organisatie met het uitvoeren van een PIA? Geef de uitvoering uit handen en neem contact op met AVG Juristen.
mr. C.M. (Maarten) de Man
privacy specialist en Functionaris Gegevensbescherming bij (o.a.) Gemeente Heemskerk, Gemeente Nederweert, Rekenkamer Den Haag, Payroll Select en ArGon Arbodienstverlening.
E-mail: deman@avgjuristen.nl
AVG Juristen, praktisch met privacy
Dit artikel is een hulp. Het bericht wordt met aandacht samengesteld, maar aan de informatie kan geen enkel recht worden ontleend.
