Door onze advocaat privacywetgeving: Yuri Benjamins

Het Privacy Impact Assessment

Eind mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht en worden de eisen omtrent de Privacy Impact Assessment (PIA) van kracht. Menig ondernemer vraagt zich af wat de nieuwe privacy wetgeving voor hen zal betekenen. De nieuwe privacywetgeving eist in bepaalde gevallen ook dat men een Privacy Impact Assessment uitvoert. Wat is een Privacy Impact Assessment? Wanneer ben u verplicht deze uit te voeren? En hoe voert u een PIA uit? Onze privacyrecht advocaat geeft u een zo simpel mogelijk antwoord.

Wat is een Privacy Impact Assessment (PIA)?

In het Nederlands spreekt men over een gegevensbeschermingseffectbeoordeling. Hier hanteren we echter voor het gemak even de Engelse benaming of de afkorting: PIA. Een PIA is een proces waarin u voorafgaand aan de verwerking van persoonsgegevens nagaat wat de gevolgen zijn van deze verwerking. Het is in die zin te vergelijken met een audit, maar dan preventief en gericht op het aanpassen van de processen omtrent de verwerking van persoonsgegevens waar dat nodig mocht blijken. De Privacy Impact Assessment is slechts een onderdeel van de nieuwe privacywetgeving, maar is een belangrijk instrument om te voldoen aan de eisen die de AVG stelt. Dit laatste heeft ook te gelden voor bedrijven die niet verplicht zijn om een dergelijk assessment uit te voeren.

Wanneer moet  u een Privacy Impact Assessment uitvoeren?

Men doet een PIA op het moment dat er een nieuwe verwerking van persoonsgegevens gaat plaatsvinden die: waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

Wanneer is er: waarschijnlijk een hoog risico?

De zogenaamde Artikel 29-Werkgroep heeft een richtsnoer uitgebracht waarin wordt besproken wanneer de verwerking van persoonsgegevens sprake is van ‘waarschijnlijk een hoog risico’. Daaruit volgt, net zoals uit de AVG, dat het onder andere kan om gaan data die op grote schaal verwerkt worden, of dat er op basis van de data evalueert, stelselmatige monitoring, gevoelige gegevens zoals omschreven in artikel 9 lid 1 van de AVG of bijvoorbeeld nieuwe (innovatieve) technologische toepassingen bij het verwerken van data.

De Artikel 29-Werkgroep heeft de volgende lijst van verwerkingen opgesteld, waarvan men veronderstelt dat als men aan twee van twee van deze negen criteria voldoet er sprake is van een hoog risico in die zin dat de uitvoering van een gegevensbeschermingseffectbeoordeling vereist wordt. Dit betreft een veronderstelling en u kunt dus al verplicht zijn om een PIA uit te voeren als u aan één van deze criteria voldoet. De genoemde criteria spreken niet allemaal voor zich. In een nadere artikelen zullen deze verder uitgewerkt worden, toch benoemen wij ze hier even voor de volledigheid:

  1. Evaluatie of scoretoekenning.
  2. Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg.
  3. Stelselmatige monitoring.
  4. Gevoelige gegevens of gegevens van zeer persoonlijke aard.
  5. Op grote schaal verwerkte gegevens.
  6. Matching of samenvoeging van datasets.
  7. Gegevens met betrekking tot kwetsbare betrokkenen.
  8. Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen.
  9. Indien betrokkenen als gevolg van de gegevensverwerking een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst.

Bijvoorbeeld: u gaat een webshop starten. De gegevens die u verzamelt zijn alleen de NAW gegevens van de Klant en deze gaat u twee weken bewaren. In dat geval moet u zich afvragen: heeft een dergelijke verwerking waarschijnlijk een hoog risico? Het antwoord: Nee, dit is geen verwerking die waarschijnlijk een hoog risico met zich meebrengt.

Hoe voer je een Privacy Impact Assessment uit?

Helaas zijn er nog geen concrete richtlijnen over hoe men een PIA moet uitvoeren. Men verwacht dat in de toekomst de toezichthouders met modellen zullen komen, maar ook dat branches zelf met sectorspecifieke modellen komen waarbij de PIA-modellen specifiek toegesneden zijn op de branche-specifieke risico’s.

In het algemeen kan gezegd worden dat het uitvoeren van een PIA de volgende stappen kent:

  1. Men beschrijft welke gegevens u wilt gaan verwerken. Het gaat hier uitsluitend dan nog om welke gegevens u van de betrokkenen gaat verwerken, nog niet hoe.
  2. Daarna stelt u van al deze gegevens vast of er een noodzaak is om deze te verwerken. U stelt u dus de vraag of het ook met minder persoonsgegevens kan. Hierbij moet u nagaan wat evenredig is. Mogelijk zullen meer gegevens resulteren in een betere bedrijfsvoering, maar u moet de vraag stellen of dit naar evenredigheid opweegt tegen de verwerking van deze extra persoonsgegevens.
  3. Daarna gaat u kijken welke maatregelen u moet nemen om te voldoen aan de AVG of overige relevante privacywetgeving. Ook dit documenteert u.
  4. Daarna gaat u na wat de risico’s zijn die ontstaan, ook al heeft u een redelijk beveiliging voor de persoonsgegevens. U gaat dus na wat de risico’s zijn als er onverhoopt toch een onrechtmatige toegang tot de persoonsgegevens plaatsvindt bijvoorbeeld. U dient alle risico’s in kaart te brengen.
  5. De risico’s die u in stap 4 heeft geïdentificeerd, gaat u adresseren. Welke maatregelen gaat u nemen om deze risico’s te beperken en aan te pakken

Dit alles dient u te documenteren. Dit vormt immers feitelijk uw Privacy Impact Assessment. Door deze goed te documenteren kunt u in het geval van een inspectie door de toezichthouder aantonen dat u actief bezig bent geweest met het inschatten van de risico’s die met de verwerking van persoonsgegevens gepaard gaan.

Onze advocaten kunnen u uitstekend adviseren over de nieuwe privacywetgeving, dus neem gerust contact op.