Alles over de PIA (AVG): wanneer is het verplicht en hoe werkt het?

De PIA: als ondernemer krijg je hier wellicht mee te maken. Organisaties kunnen namelijk verplicht zijn om een (Data) Privacy Impact Assessment (DPIA/PIA) uit te voeren. In deze blog leg ik je uit wat een PIA is en wat dat betekent voor jouw onderneming.

Advocaat
dinsdag 27 oktober 2020
PIA: data privacy impact assessment beperkt risico's.

Wat is een PIA?

Een PIA is een onderzoek naar de effecten die de verwerking(en) van persoonsgegevens hebben op de privacy. Het onderzoek is bedoeld om, voordat je bepaalde verwerkingen uitvoert, systematisch in kaart te brengen wat de risico’s zijn van de gegevensverwerking. Je gaat allereerst na wat je met de gegevens doet en wie (in welke mate) toegang heeft tot de gegevens. Aan de hand daarvan kan je beoordelen of de verwerkingen risico’s met zich mee brengen. Tot slot neem je maatregelen om eventuele risico’s te beperken.

Is een PIA verplicht?

Het uitvoeren van een Data Protection Impact Assessment is verplicht wanneer er sprake is van verwerkingen die een hoog privacyrisico opleveren voor de mensen van wie gegevens worden verwerkt. Denk bijvoorbeeld aan de verwerking van gevoelige informatie, zoals financiële of medische persoonsgegevens. Als gegevensverwerker moet je zelf inschatten of je verwerking een hoog privacyrisico oplevert.

Het maken van deze inschatting kan lastig zijn. De Autoriteit Persoonsgegevens (AP) heeft daarom een lijst ter beschikking gesteld met verwerkingen waarvoor het uitvoeren van een PIA in ieder geval verplicht is. Dat is het geval bij:

  • Heimelijk onderzoek;
  • Zwarte lijsten;
  • Fraudebestrijding;
  • Creditscores;
  • Financiële situatie;
  • Genetische persoonsgegevens;
  • Gezondheidsgegevens;
  • Samenwerkingsverbanden;
  • (Flexibel) cameratoezicht;
  • Locatiegegevens;
  • Communicatiegegevens;
  • Internet of things;
  • Profilering;
  • Observatie en beïnvloeding van gedrag;
  • Biometrische gegevens

Beoordelen of er sprake is van een hoog privacyrisico

Zoals gezegd kan een PIA ook verplicht zijn wanneer het type verwerking dat je gaat verrichten, niet op de lijst van de Autoriteit Persoonsgegevens staat. Je moet dan als verwerkingsverantwoordelijke zelf beoordelen of er sprake is van een hoog privacyrisico. Vind je dat lastig? De Europese toezichthouders hebben een lijst met criteria opgesteld waarvan gebruik kan worden gemaakt bij deze beoordeling. Als vuistregel kan je het beste hanteren dat je een PIA moet uitvoeren wanneer aan twee criteria van de lijst wordt voldaan. De verwerking zal dan waarschijnlijk een hoog privacyrisico opleveren.

Waar moet een PIA aan voldoen?

Er zijn diverse manieren voor het uitvoeren van een PIA. De AVG geeft wel aan wat er tenminste in de beoordeling moet staan, namelijk:

  • een systematische beschrijving van de beoogde verwerkingen en het doel van de verwerking;
  • een beoordeling van de noodzaak en evenredigheid van de verwerkingen die zien op de doeleinden;
  • een beoordeling van de risico’s voor betrokkenen;
  • de beoogde maatregelen om de risico’s te verminderen.

Door wie laat je een PIA uitvoeren?

Je kan voor de PIA een externe partij inschakelen. Je kan het echter ook intern door personeel laten doen. Het personeel moet dan wel over voldoende kennis van het privacyrecht beschikken.

Degene die de PIA uitvoert, moet alle relevante informatie uit de onderneming halen. Hij kan zich daarbij onder andere de volgende vragen stellen:

  • Wie zijn de betrokkenen?
  • Welke persoonsgegevens worden verzameld?
  • Waarvoor worden de persoonsgegevens gebruikt?
  • Met wie worden de persoonsgegevens gedeeld?
  • Door wie worden de persoonsgegevens verwerkt?

Als je onderneming over een Functionaris voor de Gegevensbescherming (FG) beschikt, dan is deze niet verantwoordelijk voor het uitvoeren van een PIA. De FG treedt wel op als toezichthouder en kan eventueel adviezen geven over het proces. Om die reden moet de FG wel op tijd betrokken worden bij een PIA.

Welke risico’s kunnen een rol spelen bij de verwerking van persoonsgegevens?

Uit de beoordeling zal uiteindelijk blijken of de verwerkingen risico’s opleveren. Daarbij moet worden ingeschat welke impact die risico’s hebben op de privacy van de betrokkenen. Maar over wat voor soort impact hebben we het dan? Denk bijvoorbeeld aan de risico’s op en gevolgen van identiteitsfraude.

Ook mogen we niet vergeten welke impact het kan hebben op de onderneming zelf. Wanneer de privacy van de betrokkene wordt geschaad, zal de impact op de organisatie ook groter worden. Daarmee wordt bijvoorbeeld het risico groter op:

  • het doorvoeren van kostbare aanpassingen in processen van de organisatie;
  • het schaden van het vertrouwen van werknemers of klanten;
  • sancties die de toezichthouders kunnen opleggen.

Wat als het beperken van risico’s niet lukt?

Uit een PIA kan naar voren komen dat de verwerking inderdaad risico’s oplevert. In eerste instantie moet je deze risico’s proberen te beperken.

Als dat niet lukt, dan moet je voordat je met de verwerking start contact opnemen met de Autoriteit Persoonsgegevens (AP). De AP zal advies geven over het beperken van de risico’s. Is de AP van mening dat eventuele maatregelen niet voldoende zijn, dan kan de verwerking in zijn geheel worden afgeraden.

Hoe vaak moet ik een PIA uitvoeren?

Het is verstandig om een Privacy Impact Assessment vaker uit te voeren dan één keer. Het is belangrijk om bij veranderingen opnieuw een PIA uit te voeren. Bijvoorbeeld wanneer je gebruik gaat maken van nieuwe technologieën. Voer daarom sowieso één keer in de 2 à 3 jaar een PIA uit.

Hulp nodig?

Het bovenstaande geeft in een notendop de belangrijkste aspecten neer van een PIA. Natuurlijk is het per situatie verschillend hoe een PIA het beste kan worden aangepakt. Heb je vragen over de AVG of hulp nodig bij een PIA? Bel of mail mij dan gerust.

Ook interessant