Privacy impact assessment (PIA)

De Privacy impact assessment is een risicoanalyse-instrument waarmee privacy- risico’s kunnen worden geïdentificeerd en gelokaliseerd.

Privacy is een breed begrip. Privacy wordt ook wel omschreven als het recht om met rust te worden gelaten. Er zijn verschillende vormen van privacy, zo wordt bijvoorbeeld onderscheid gemaakt naar relationele, lichamelijke, territoriale, communicatieve, medische en informationele privacy. In de PIA heeft privacy betrekking op de informationele privacy. De vastlegging en verwerking van persoonsgegevens valt onder de informationele privacy. De bescherming van persoonsgegevens kan omschreven worden als het recht op eerlijke, veilige en betrouwbare informatieverwerking.
Door snelle technologische ontwikkelingen zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. Persoonsgegevens in de Europese Unie worden op gefragmenteerde wijze beschermd, er is sprake is van rechtsonzekerheid en in brede lagen van de bevolking bestaat het beeld dat met name onlineactiviteit aanzienlijke risico’s inhoudt. Om die reden wordt gewerkt aan een Algemene Verordening Gegevens-bescherming (AVG). Naar huidige verwachting zal de AVG in 2018 in werking treden. De AVG zal consequenties hebben die tot heroverweging van de beheersmaatregelen met betrekking tot privacybescherming leiden.

Wat doe een PIA

Een PIA legt in de eerste plaats de privacy risico’s bloot van nieuwe (projecten en initiatieven) of bestaande verwerkingen van persoonsgegevens en draagt bij aan het vermijden of verminderen van deze privacy risico’s.
Op basis van deze PIA wordt op systematische wijze inzichtelijk gemaakt hoe groot de kans is dat de privacy van de betrokken personen van wie gegevens worden verwerkt wordt geschaad, waar deze risico’s zich voordoen en welke gevolgen daaraan voor hen verbonden zijn.
De PIA doet dit door op gestructureerde wijze:

– De mogelijk (negatieve) gevolgen van het gebruik van persoonsgegevens voor de betrokken personen en organisaties in kaart te brengen; en

– De risico’s voor de betrokken personen en organisaties zo veel mogelijk te lokaliseren.

Op basis van de uitkomsten van de Privacy impact assessment kan men gericht acties ondernemen om deze risico’s te verminderen.

In de AVG zullen ook voor het bedrijfsleven verplichtingen voor het uitvoeren van een PIA worden opgenomen. De Privacy impact assessment is een onmisbaar hulpmiddel voor organisaties om de privacy impact in te schatten of te evalueren. Het verdient aanbeveling de PIA onderdeel te laten uitmaken van de privacy strategie en het kwaliteitssysteem van een organisatie maar ook van de kwaliteitsbeheersing van projecten waardoor verwerking van persoonsgegevens tot stand komt. Door het gebruik van de PIA kan bescherming van persoonsgegevens op een gestructureerde manier onderdeel uitmaken van de belangenafweging en besluitvorming binnen organisaties.

Voordelen van een PIA

Deze kent bij de juiste uitvoering en implementatie van de verbeterpunten die voortkomen uit het assessment, een aantal voordelen. De belangrijkste is wel:

Het voorkomen van kostbare aanpassingen in processen, herontwerp van systemen of stopzetten van een project door vroegtijdig inzicht in de belangrijkste privacyrisico’s.

Daarnaast zijn er ook nog een aantal andere voordelen:

  • Het verminderen van de gevolgen van toezicht en handhaving.
  • Het verbeteren van de kwaliteit van gegevens.
  • Het verbeteren van de dienstverlening.
  • Het verbeteren van de besluitvorming.
  • Het verbeteren van de haalbaarheid van een project.
  • Het verstevigen van het vertrouwen van de klanten, werknemers of burgers in de wijze waarop persoonsgegevens worden verwerkt en privacy wordt gerespecteerd.
  • Het verbeteren van de communicatie over privacy en de bescherming van persoonsgegevens.

Doelgroepen van een PIA

Deze kan gebruikt worden door alle typen organisaties. In het algemeen kan worden gezegd dat het zinvol is een PIA uit te voeren bij een nieuw project of grote wijziging van een bestaand systeem of proces waarbij persoonsgegevens worden verwerkt. De PIA kan natuurlijk ook op bestaande verwerkingen van persoonsgegevens worden toegepast, indien dat nog niet eerder is uitgevoerd.

Wanneer laat u een PIA uitvoeren?

Een PIA kan het beste gestart worden in een zeer vroeg stadium van een project. Vervolgens kan de verdere uitwerking van de PIA aansluiten bij de verdere uitwerking van het project. Op die manier helpt de PIA u om het privacybelang structureel mee te nemen in het project. Daarmee wordt de PIA een belangrijk onderdeel van het ontwerpproces.
Ook aanpassingen of wijzigingen van bestaande verwerkingen van persoonsgegevens rechtvaardigen een Privacy impact assessment. Op die manier kunt u voorkomen dat later kostbare aanpassingen nodig zijn om alsnog de noodzakelijke beheersmaatregelen met betrekking tot privacy te implementeren. Ook wanneer de omstandigheden van een project tijdens de looptijd veranderen, is het raadzaam de PIA te herhalen en/of te evalueren bij de afsluiting van een project. U kunt door structureel PIA’s uit te laten voeren bij projecten die te maken hebben met de verwerking van persoonsgegevens, of op reeds bestaande verwerkingen, op gestructureerde wijze inzicht krijgen in het totale risicoprofiel van uw organisatie.

 

Als u meer wilt weten over een PIA als dienstverlening van Phari kunt u contact met ons opnemen op bellen met Gert Folkerts: 0650849961

 

Bronnen: Rijksoverheid

Share