Moet ik een Privacy Impact Assessment uitvoeren?

Dit is de vijfde van negen korte artikelen over de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). In de komende artikelen behandelen we de belangrijkste acht thema’s uit de AVG.

De ‘gegevensbeschermingseffectbeoordeling’, zoals de AVG een Privacy Impact Assessment (PIA) noemt, zal binnen uw organisatie moeten worden uitgevoerd als sprake is van verwerkingen met een ‘waarschijnlijk verhoogd risico’. Uitleners verwerken per definitie veel gevoelige en bijzondere persoonsgegevens. Grote kans dat er dus sprake is van een verhoogd risico op het schenden van de privacy en dat dús een PIA nodig is. Het is belangrijk om als organisatie privacyrisico’s van een project in een vroeg stadium op een gestructureerde en heldere manier in beeld te brengen. Denk bijvoorbeeld aan de introductie van een portal om de uren te registreren of inschrijving van kandidaten via de website. Het uitvoeren van een PIA is daarvoor het geëigende middel.

Er is geen vaste manier om een PIA uit te voeren. De AVG stelt wel een aantal minimale eisen. Er bestaan ook verschillende methodes om een PIA uit te voeren. U kiest zelf welke methode voor uw organisatie het meest geschikt is en voldoet aan de voorwaarden uit de AVG. Om te bepalen of er een PIA moet worden uitgevoerd is het goed om eerst de PIA ‘drietrapsraket’ door te nemen: drie stappen om te bepalen of een PIA überhaupt noodzakelijk is.

Voer als eerste stap een globale beoordeling uit op de verwerkingen die u doet. Voor een deel heeft u dit als het goed is al gedaan bij het inrichten van het register van verwerkingsactiviteiten. In artikel 3 is hieraan aandacht besteed. Beoordeel welke risico’s er kleven aan deze verwerkingen. Uit deze beoordeling kan naar voren komen dat er waarschijnlijk géén hoog risico kleeft aan een specifieke verwerking (bijvoorbeeld omdat geen persoonsgegevens worden verwerkt). Dan hoeft u ook geen PIA uit te voeren. Er kan echter ook naar voren komen dat er mogelijk wél een (hoog) risico kleeft aan de verwerking. In dat geval is een PIA wel noodzakelijk. Dit is dus stap 2, het daadwerkelijk uitvoeren van een PIA die voldoet aan de eisen uit de AVG. Het resultaat van stap 2 is inzicht in de mogelijke risico’s ten aanzien van privacy. Het is logisch om verbeterpunten te benoemen en zelfs concrete maatregelen te benoemen. Uit de PIA kan naar voren komen dat het hoge risico niet of juist wel kan worden beperkt met redelijke middelen. Als het risico kan worden beperkt, zorg dan dat je de passende maatregelen neemt. Kan het risico niet worden beperkt, neem dan stap 3, raadpleeg de toezichthouder, de Autoriteit Persoonsgegevens.

Het uitvoeren van een PIA wordt vaak gezien als een verplicht ‘vinkje’ dat moet worden gehaald. Het gaat natuurlijk niet om het uitvoeren van de PIA, maar om wat u doet met de resultaten. Het is dan ook zaak om in uw methodiek te borgen wie verbeterpunten of aanbevelingen oppakt en monitort.

Bij voorkeur wordt de PIA uitgevoerd door iemand die begrijpt hoe de privacybegrippen passen op het bedrijfsproces. Formeel gezien is het niet de FG die een PIA zou moeten uitvoeren maar het zijn de betrokkenen bij het proces die dat het beste kunnen doen. Een multidisciplinair team dus. De FG is wel degene die adviseert over de PIA en de uitkomsten ervan monitort.

In het volgende artikel wordt ingegaan op de beveiliging van gegevens. Wat zijn nu precies ‘passende en organisatorische maatregelen’ om persoonsgegevens zo goed mogelijk te beschermen?

Marcel Reijmers, directeur FlexKnowledge

Bent u al AVGoké Flex?
Op 15 en 20 maart 2018 organiseren FlexKnowledge, Verdonck Klooster & Associates, ARTRA en Cicero een tweetal seminars om u in een middag goed op weg te helpen. Meer informatie en de mogelijkheid voor inschrijving is te vinden op de website van ARTRA.