Privacy Impact Assessent (PIA)

Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van kracht. Dit betekent onder andere dat vanaf dat moment organisaties verplicht kunnen zijn een Privacy Impact Assessment (PIA) uit te voeren.

Er zijn verschillende vormen van privacy te onderscheiden. Er wordt bijvoorbeeld onderscheid gemaakt naar relationele, lichamelijke, territoriale, communicatieve, medische en informationele privacy.

Alle informatie op de website van TestTalk over de PIA, heeft betrekking op de informationele privacy. De vastlegging en verwerking van persoonsgegevens valt onder de informationele privacy.

Wat is een PIA?

Een Privacy Impact Assessment (PIA) is een instrument om bij ontwikkeling van beleid, en de daarmee gepaard gaande wetgeving of bouw van ICT-systemen en aanleg van databestanden, privacyrisico’s in kaart te brengen.

Een PIA geeft inzicht in:

• de kans dat de privacy van de betrokken personen van wie gegevens worden verwerkt wordt geschaad
• waar deze risico’s zich voordoen
• welke gevolgen daaraan voor hen verbonden zijn

Op basis van de resultaten kunnen er maatregelen worden genomen om de risico’s te verkleinen.

Wat is een PIA niet?

Er zijn diverse privacy instrumenten beschikbaar. Veel van deze instrumenten zijn gericht op compliance. Bij een compliance check gaat het om het controleren of een organisatie voldoet aan de wet- en regelgeving. Ze geven antwoord op de vraag of een organisatie de Wet bescherming persoonsgegevens correct naleeft.

De PIA die wij hier bedoelen is geen nalevingsinstrument, maar een risicoanalyse instrument waarmee privacy risico’s kunnen worden geïdentificeerd en gelokaliseerd.

Waarom een PIA uitvoeren?

Een PIA levert een bijdrage aan het realiseren van de volgende belangrijke doelstellingen:

1. Het identificeren en mitigeren van privacyrisico’s binnen een project.
   Het voorkomen van kostbare aanpassingen in processen, herontwerp van systemen of stopzetten van een project door vroegtijdig inzicht in de belangrijkste privacyrisico’s.
2. Het verantwoorden van gemaakte keuzes binnen een project;
3. Het vergroten van het maatschappelijk draagvlak voor een project.

Daarnaast kan een PIA een bijdrage leveren in het realiseren van de volgende doelen van een organisatie:

1. Het verminderen van de gevolgen van toezicht en handhaving.
2. Het verbeteren van de kwaliteit van gegevens.
3. Het verbeteren van de dienstverlening.
4. Het verbeteren van de besluitvorming.
5. Het verhogen van het privacy bewustzijn binnen een organisatie.
6. Het verbeteren van de haalbaarheid van een project.
7. Het verbeteren van de communicatie over privacy en de bescherming van persoonsgegevens.

Welke organisatie moeten een PIA gebruiken

Organisaties hoeven, zodra de AVG geldt, niet voor elke gegevensverwerking een PIA uit te voeren. Een PIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:

• systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
• op grote schaal bijzondere persoonsgegevens verwerkt;
• op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Meer uitleg hierover kun je lezen op de website van de Autoriteit Persoonsgegevens

Op welk moment een PIA uitvoeren

Om het privacybelang structureel mee te nemen in een project kan het beste met een PIA worden gestart in een zeer vroeg stadium van het project. De resultaten kunnen dan direct worden meegenomen tijdens het ontwerpen en bouwen van een systeem.

Met het uitvoeren van een PIA kan voorkomen worden dat in een later stadium kostbare aanpassingen nodig zijn om alsnog de benodigde privacy maatregelen te implementeren.

Hoeveel tijd kost het uitvoeren van een PIA

De tijd die nodig is voor het uitvoeren van een PIA is afhankelijk van de volgende factoren:

1. Het aantal belanghebbenden bij het project en de mate waarin deze vragen of twijfels hebben over de consequenties voor privacy.
2. De impact en het belang van het project op de organisatie en de samenleving.
3. De (technische en organisatorische) complexiteit van de verwerking.

Het uitvoeren van de een PIA voor een eenvoudige gegevensverwerking zal enkele dagdelen kosten, dit is inclusief het verzamelen van gegevens en het uitvoeren van een controle. Bij complexere projecten kan dit oplopen tot tientallen dagen. Dit lijkt een hoge investering maar daarmee kan een zeer omvangrijke schadepost worden voorkomen of beperkt.

Gebruikte bronnen

• Autoriteit Persoonsgegevens
• NOREA, de beroepsorganisatie van IT-auditors

A