Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941 Vestiging Groningen: 050 2093499
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Wanneer is een PIA verplicht volgens de Autoriteit Persoonsgegevens?

Per 25 mei heeft de Algemene Verordening Gegevensbescherming (AVG) de ‘gegevensbeschermingseffectbeoordeling’ – of in de volksmond: de Privacy Impact Assessment (PIA) – in het leven geroepen. De PIA was al bekend bij de Rijksoverheid en werd door sommige bedrijven vrijwillig ingezet, maar de AVG heeft nu een bredere verplichting geïntroduceerd. De PIA is een, soms verplicht, instrument om vooraf na te denken over de privacyrisico’s die een bepaalde gegevensverwerking met zich meebrengt. Waar mogelijk dient de verwerking vervolgens ‘privacyvriendelijker’ gemaakt te worden.

Ben ik verplicht om een PIA te doen?

Op grond van de AVG dient de verwerkingsverantwoordelijke een PIA uit te voeren wanneer de voorgenomen verwerking waarschijnlijk een hoog risico oplevert voor de mensen van wie gegevens worden verwerkt. Als de verwerkingsverantwoordelijke hierbij een verwerker inschakelt, dient de verwerker te helpen door alle benodigde informatie te verstrekken. Denk hierbij aan het doorgeven van welke beveiligings-maatregelen zijn genomen voor de geleverde software.

Wanneer moet ik een PIA doen?

Het Europees Comité voor Gegevensbescherming, het samenwerkingsverband van privacytoezichthouders in de EU, heeft in 2017 al richtlijnen gepubliceerd voor wanneer je nou precies een PIA moet uitvoeren. Daarvoor is het vaak nodig om te weten of een verwerking ‘grootschalig’, ‘systematisch’ of ‘stelselmatig’ is. Alleen ‘grootschalig’ is tot nu toe uitgelegd. De Nederlandse Autoriteit Persoonsgegevens (AP) heeft in juni verder invulling gegeven aan het begrip ‘waarschijnlijk een hoog risico voor betrokkenen’. De toezichthouder heeft 16 specifieke situaties aangegeven waarvoor een PIA verplicht is:

  1. Heimelijk onderzoek
  2. Zwarte lijsten
  3. Fraudebestrijding
  4. Creditscores
  5. Financiële situatie
  6. Genetische persoonsgegevens
  7. Gezondheidsgegevens
  8. Samenwerkingsverbanden waarbij overheden gevoelige gegevens delen
  9. Cameratoezicht
  10. Flexibel cameratoezicht (bijvoorbeeld camera’s op de kleding of helm van brandweer- of ambulancepersoneel, of het gebruik van dashcams door hulpdiensten)
  11. Controle werknemers (bijvoorbeeld door het monitoren van internetgebruik)
  12. Locatiegegevens
  13. Communicatiegegevens
  14. Internet of Things
  15. Profilering
  16. Observatie en beïnvloeding van gedrag (bijvoorbeeld bij online behavioral advertising)

Let wel: deze lijst is nog niet definitief. De AP zal deze nog afstemmen met het Comité. De toezichthouder heeft overigens geen gebruikgemaakt van de mogelijkheid om een lijst te maken van verwerkingen waarvoor geen PIA hoeft te worden uitgevoerd.

Gezondheidsgegevens

Onder overweging 91 van de AVG was het al bekend dat individuele artsen en zorgprofessionals (en individuele advocaten) geen PIA’s hoeven uit te voeren. Daardoor was het onduidelijk of bijvoorbeeld een huisartsenpraktijk met twee of drie huisartsen weer wel een PIA moest doen. De AP geeft nu een aantal voorbeelden van wanneer een grootschalige verwerking van gezondheidsgegevens een PIA vereist, namelijk voor ziekenhuizen, arbodiensten, reïntegratiebedrijven, (speciaal) onderwijsinstellingen, verzekeraars, en onderzoeksinstituten.

Controle van werknemers

Ook grootschalige en/of systematische monitoring van werknemers vereist een PIA. Denk daarbij aan het loggen van netwerkverkeer, scannen van e-mails en internetgebruik, en cameratoezicht ten behoeve van diefstal- en fraudebestrijding. Vanwege de grote inbreuk op de privacy van werknemers, mag de werkgever in ieder geval maar beperkt monitoren en alleen voor een strikt afgebakend doel. Door het uitvoeren van de PIA zal de werkgever regelmatig moeten reflecteren op het toezicht dat hij over zijn werknemers houdt.

Financiële situatie en creditscores

Daarnaast zullen organisaties die – wederom grootschalig en/of systematisch – overzichten van bankafschrijvingen, van saldi van bankrekeningen of van mobiele of pinbetalingen maken, een PIA moeten uitvoeren. Dat geldt ook indien een en ander gebruikt wordt om iemands kredietwaardigheid te bepalen, zoals bij het bepalen van een creditscore gebeurt.

Uitvoeren van PIA’s

Hoe de PIA moet worden uitgevoerd, is in principe vormvrij, zolang er maar aan een aantal basisvereisten wordt voldaan:

  • Beschrijf hoe persoonsgegevens verwerkt zullen worden, en waarom op deze manier;
  • Beschrijf waarom dit noodzakelijk en proportioneel is. Breng hierbij de mogelijke privacyrisico’s voor betrokkenen in kaart;
  • Beoordeel of deze risico’s niet onredelijk groot zijn tegenover het te bereiken doel;
  • Benoem de voorgenomen maatregelen om deze risico’s aan te pakken (zoals bijvoorbeeld extra veiligheidsmaatregelen, een autorisatiebeleid, of data-minimalisatie) en om aan te tonen dat aan de AVG wordt voldaan. Alle verwerkingen van persoonsgegevens dienen immers in lijn met de verordening te zijn. Als de risico’s niet goed beperkt kunnen worden, is voorafgaande raadpleging bij de AP nodig.

De beroepsorganisatie van IT-auditors (NOREA) heeft een handreiking gedaan voor het uitvoeren van de PIA. De PIA kan natuurlijk ook extern worden uitgevoerd. Die keuze is aan de verwerkingsverantwoordelijke.


Hulp nodig bij het uitvoeren van een PIA?

De privacy-experts van ICTRecht kunnen voor uw organisatie een PIA uitvoeren. Benieuwd naar de mogelijkheden? Neem dan contact met ons op, of klik hier voor onze overige privacy diensten.

Laura Monhemius

Juridisch adviseur

Laura Monhemius is binnen het privacyteam van ICTRecht werkzaam als juridisch adviseur. In deze functie houdt zij zich bezig met het beantwoorden van uiteenlopende privacyvraagstukken.


Er zijn 7 reacties

  1. Hallo,

    Op de site van de AP valt niks te vinden over de 16 situaties waarin het uitvoeren van een PIA nodig is. Ook over “(AP) heeft in juni verder invulling gegeven aan het begrip ‘waarschijnlijk een hoog risico voor betrokkenen’ ” valt op de site van de AP niets te vinden.
    Is er meer informatie van de AP beschikbaar en, zo ja, waar is deze te vinden?

    Dank,
    Brenda.

  2. Hi Laura,

    Is het niet zo dat een PIA wettelijk niet erkend wordt als een gegevenseffectbeoordeling en dat wij, als we helemaal correct willen zijn, moeten spreken van een DPIA? Zover ik het begrijp is een PIA eerder een ‘verzonnen’ tussenvorm.

    1. Beste Patrick,

      De AVG spreekt inderdaad van ‘gegevensbeschermingseffectbeoordeling’ of Data Protection Impact Assessment (DPIA) in het Engels, maar in de praktijk is Privacy Impact Assessment (PIA) de bekendste en meest gebruikte term. Hiermee wordt hetzelfde bedoeld.

      Met vriendelijke groet,

      Laura Monhemius

  3. Er zit wel degelijk een verschil tussen een DPIA en een PIA, omdat deze laatste verder kijkt (of dat in ieder geval wel zou moeten doen) dan de verwerking van de persoonsgegevens, waar de DPIA alleen naar zou moeten kijken.

    1. Beste Danny,

      Bedankt voor je bericht. Wij zien dat in de praktijk de termen ‘PIA’, ‘DPIA’ en ‘gegevensbeschermingseffectbeoordeling’ door elkaar gebruikt worden, maar dat hetzelfde wordt bedoeld.

      Met vriendelijke groet,

      Laura Monhemius

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie