Gegevensbeschermingseffectbeoordeling
Een PIA wordt ook wel gegevensbeschermingseffectbeoordeling genoemd, maar de afkorting PIA is gebruikelijker. Daarnaast wordt ook de afkorting DPIA (Data Protection Impact Assessment). Een PIA is een onderzoek om een overzicht van de privacyrisico’s van gegevensverwerking door je organisatie te creëren. Hierdoor kun je maatregelen nemen om deze risico’s te minimaliseren. Hoewel het altijd verstandig is om over een dergelijk overzicht te beschikken, ben je in sommige situaties verplicht een uit te voeren.
Wanneer is een PIA verplicht?
De Algemene verordening gegevensbescherming (AVG) geeft aan wanneer je verplicht bent om een PIA uit te voeren. Dat is het geval wanneer gegevensverwerking een hoog privacyrisico oplevert voor de mensen van wie je de persoonsgegevens verwerkt (de betrokkenen).
Hoewel de opsomming niet volledig is, is er in ieder geval sprake van een hoog privacyrisico indien er van 1 of meer van onderstaande situaties sprake is:
-
je beoordeelt personen met behulp van persoonskenmerken, bijvoorbeeld de kredietwaardigheid van je klanten of profielen van personen op basis van bijvoorbeeld hun interesses of locatiegegevens
-
je neemt geautomatiseerde beslissingen aan de hand van persoonsgegevens, zoals beslissingen die grote gevolgen kunnen hebben zoals uitsluiting of discriminatie
-
je verzamelt regelmatig en op grote schaal persoonsgegevens door personen te volgen in de openbare ruimte, zoals met cameratoezicht zonder dat die personen weten wat je met die beelden doet
-
je verwerkt bijzondere persoonsgegevens (zie hieronder)
-
je gebruikt op grote schaal veel persoonsgegevens voor een lange tijd
-
je koppelt verschillende databases met persoonsgegevens aan elkaar
-
je gebruikt persoonsgegevens van kwetsbare personen zoals werknemers, kinderen of patiënten
-
je gebruikt nieuwe technologieën waarvan je nog niet precies weet wat de maatschappelijke gevolgen zijn
-
je gebruikt persoonsgegevens op een bepaalde manier waardoor personen een dienst niet kunnen gebruiken, een contract niet kunnen afsluiten of een recht niet kunnen uitoefenen
Wat zijn bijzondere persoonsgegevens?
Bijzondere persoonsgegevens zijn persoonsgegevens over:
-
ras of etnische afkomst
-
politieke opvattingen
-
religieuze of levensbeschouwelijke overtuigingen
-
lidmaatschap van een vakbond
-
genetische gegevens
-
biometrische gegevens
-
gezondheid
-
seksuele gedrag of seksuele geaardheid
Hoe voer ik een PIA uit?
Een PIA kun je op verschillende manieren uitvoeren. Het maakt niet uit hoe je het doet, zolang de uitvoering voldoet aan de eisen die de AVG eraan stelt. De AVG stelt de volgende eisen aan een PIA:
-
je omschrijft welke gegevens je gaat gebruiken, met welk doel en met welke onderbouwing
-
je beoordeelt of het noodzakelijk is persoonsgegevens te verwerken om je doel te bereiken
-
je beoordeelt of de inbreuk op de privacy van de betrokkenen in verhouding staat tot het bereiken van je doel
-
je beoordeelt de privacyrisico's van je gegevensverwerking
-
je bepaalt welke maatregelen je gaat nemen om privacyrisico’s te minimaliseren
-
je bepaalt welke maatregelen je gaat nemen om aan de AVG-eisen te voldoen
DPO
De AVG geeft aan dat ook in bepaalde gevallen een DPO verplicht is. Een DPO wordt wel Functionaris voor de gegevensverwerking genoemd. Niet alleen organisaties die hiertoe wettelijk verplicht zijn, kunnen een DPO aanstellen maar ook andere organisaties. De taak van de DPO is om toe te zien op de naleving van je privacyverklaring en privacybeleid binnen je organisatie. Ben je verplicht om een PIA uit te voeren, dan zal dit normaal gesproken gedaan worden door de DPO. Is een DPO niet verplicht, dan kun je dit ook laten uitvoeren door een Privacy Officer (PO). Een PO fungeert onder meer als aanspreekpunt voor alle privacygerelateerde zaken binnen een organisatie.
De wet is complex en verandert vaak. Vraag een advocaat voor juridisch advies.