De ‘gegevensbeschermingseffectbeoordeling’, zoals de AVG een Privacy Impact Assessment (PIA) in goed Nederlands, noemt, zal binnen uw organisatie moeten worden uitgevoerd als sprake is van verwerkingen met een ‘waarschijnlijk verhoogd risico’. Uitleners verwerken per definitie veel gevoelige en bijzondere persoonsgegevens. Grote kans dat er dus sprake is van een verhoogd risico op het schenden van de privacy en dat dús een PIA nodig is. Het is belangrijk om als organisatie privacyrisico’s van een project in een vroeg stadium op een gestructureerde en heldere manier in beeld te brengen. Denk bijvoorbeeld aan de introductie van een portal om de uren te registereren of inschrijving van kandidaten via de website. Het uitvoeren van een PIA is daarvoor het geëigende middel.
Drietraps raket
Er is geen vaste manier om een PIA uit te voeren. De AVG stelt wel een aantal minimale eisen. Er bestaan ook verschillende methodes om een PIA uit te voeren. U kiest zelf welke methode voor uw organisatie het meest geschikt is en voldoet aan de voorwaarden uit de AVG. Om te bepalen of er een PIA moet worden uitgevoerd is het goed om eerst de PIA ‘drietrapsraket’ door te nemen: drie stappen om te bepalen of een PIA überhaupt noodzakelijk is.
Stap 1, globale beoordeling
Voer als eerste stap een globale beoordeling uit op de verwerkingen die u doet. Voor een deel heeft u dit als het goed is al gedaan bij het inrichten van het register van verwerkingsactiviteiten. In artikel 3 is hieraan aandacht besteed. Beoordeel welke risico’s er kleven aan deze verwerkingen.
Uit deze beoordeling kan naar voren komen dat er waarschijnlijk géén hoog risico kleeft aan een specifieke verwerking (bijvoorbeeld omdat geen persoonsgegevens worden verwerkt). Dan hoeft u ook geen PIA uit te voeren. Er kan echter ook naar voren komen dat er mogelijk wél een (hoog) risico kleeft aan de verwerking. In dat geval is een PIA wel noodzakelijk.
Stap 2 en 3, uitvoeren PIA
Dit is dus stap 2, het daadwerkelijk uitvoeren van een PIA die voldoet aan de eisen uit de AVG. Het resultaat van stap 2 is inzicht in de mogelijke risico’s ten aanzien van privacy. Het is logisch om verbeterpunten te benoemen en zelfs concrete maatregelen te benoemen. Uit de PIA kan naar voren komen dat het hoge risico niet of juist wel kan worden beperkt met redelijke middelen. Als het risico kan worden beperkt, zorg dan dat je de passende maatregelen neemt. Kan het risico niet worden beperkt, neem dan stap 3, raadpleeg de toezichthouder, de Autoriteit Persoonsgegevens.
Het uitvoeren van een PIA wordt vaak gezien als een verplicht ‘vinkje’ dat moet worden gehaald. Het gaat natuurlijk niet om het uitvoeren van de PIA, maar om wat u doet met de resultaten. Het is dan ook zaak om in uw methodiek te borgen wie verbeterpunten of aanbevelingen oppakt en monitort.
Schoenmaker, hou je bij je leest
Bij voorkeur wordt de PIA uitgevoerd door iemand die begrijpt hoe de privacybegrippen passen op het bedrijfsproces. Formeel gezien is het niet de FG die een PIA zou moeten uitvoeren maar het zijn de betrokkenen bij het proces die dat het beste kunnen doen. Een multidisciplinair team dus. De FG is wel degene die adviseert over de PIA en de uitkomsten ervan monitort.
Wij helpen u
FlexKnowledge en VKA hebben samen een toolbox ontwikkeld, waarin alle noodzakelijke documenten zijn opgenomen. Dus ook de basis voor het register van verwerkingsactiviteiten. U kunt die zelf controleren, aanvullen en updaten, maar u kunt dat ook aan ons uitbesteden.
In het volgende artikel wordt ingegaan op de beveiliging van gegevens. Wat zijn nu precies ‘passende en organisatorische maatregelen’ om persoonsgegevens zo goed mogelijk te beschermen?