Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01

Factsheets / Privacy impact assessment

Gaat u een nieuw ICT systeem opzetten, of een nieuwe manier van werken met persoonlijke informatie zoals klantgegevens invoeren? Dan moet u aan de bak: u bent verplicht een Privacy Impact Assessment uit te voeren.

Dat bepaalt de Algemene Verordening Gegevensbescherming (AVG / GDPR) die op 25 mei 2018 in werking zal treden. Deze verordening zal in de gehele EU gelijke privacyregels brengen, en de Wet bescherming persoonsgegevens (Wbp) vervangen. Wat houdt een PIA nu in?

> DOWNLOAD FACTSHEET PRIVACY IMPACT ASSESSMENT

> BEKIJK ONZE PRIVACYTRAININGEN

Wat is een Privacy Impact Assessment (PIA)?

Een Privacy Impact Assessment is een voorafgaand onderzoek naar de privacy-effecten van een project zoals een nieuw ICT systeem voor klantinformatie of een nieuwe manier van analyseren of profileren van mensen. Doel is risico’s voor de privacy in een vroeg stadium in kaart te brengen, en maatregelen te bedenken waarmee deze kunnen worden geminimaliseerd.

Wanneer is een Privacy Impact Assessment (PIA) verplicht?

Een PIA is verplicht wanneer het project hoge risico’s voor de privacy van betrokken personen oplevert. Voorbeelden daarvan zijn wanneer u automatisch beoordelingen van personen gaat uitvoeren (zoals het weigeren van klanten of het detecteren van fraude), wanneer u gevoelige gegevens zoals over gezondheid of etnische afkomst gaat gebruiken of wanneer u de openbare ruimte gaat monitoren, bijvoorbeeld met camera-toezicht. Ook het op grote schaal combineren van bestanden (zoals bij big data analyses) vereist een PIA.

Hoe en door wie wordt een Privacy Impact Assessment (PIA) uitgevoerd?

Een PIA wordt uitgevoerd door de verantwoordelijke (degene die bepaalt dat er gegevens verwerkt worden, met welk doel en met welke middelen). Als de verantwoordelijke delen van een project uitbesteedt, moeten alle betrokken partijen (zogeheten verwerkers) daar hun medewerking aan verlenen.

Interviews met medewerkers zijn een belangrijk onderdeel van PIA’s. Allereerst wordt bekeken welke persoonsgegevens er allemaal aanwezig zijn binnen een organisatie, en wat ermee gebeurt. Zijn alle gegevens die worden gebruikt ook noodzakelijk? Waar worden gegevens opgeslagen, en zijn ze op de juiste wijze beveiligd?

Worden er gegevens aan derden doorgegeven, en hoe is er dan voor gezorgd dat zij er zorgvuldig mee omgaan? Soms is het ook nodig de betrokkenen (degenen van wie de gegevens verwerkt worden) te raadplegen.

Wat gebeurt er na een Privacy Impact Assessment?

Naar aanleiding van een PIA moeten maatregelen worden genomen om een project ‘privacyvriendelijker’ te maken, bijvoorbeeld door minder gegevens op te vragen of deze beter te beveiligen. Risico’s kunnen na verloop van tijd veranderen.

Bijvoorbeeld doordat een bedrijf op andere wijze persoonsgegevens gaat verwerken, of er technisch meer mogelijk wordt. Wanneer een bedrijf bijvoorbeeld profielen van klanten gaat koppelen aan een andere verzameling gegevens, ontstaat een completer beeld van deze personen. Dit kan leiden tot nieuwe risico’s, doordat het gemakkelijker wordt een onderscheid te maken tussen personen. Het kan dan nodig zijn opnieuw een PIA uit te voeren.

Ziet u geen mogelijkheden om risico’s te beperken naar aanleiding van een PIA, dan bent u verplicht de toezichthouder (de Autoriteit Persoonsgegevens) in te schakelen voor een bindend advies. U mag het project dan niet verder uitvoeren totdat dit advies is verkregen.

Wilt u meer weten over een Privacy Impact Assessment of heeft u advies nodig bij een ander privacy-vraagstuk?

Neem dan contact op met de privacyjuristen van ICTRecht, Lisette Meij, Peter Kager of Mathieu Paapst via l.meij@ictrecht.nl, p.kager@ictrecht.nl of m.paapst@ictrecht.nl. Bekijk ook de privacytrainingen van ICTRecht Academy.

Andere factsheets

  • Oneerlijke handelspraktijken op het internet

    ‘Ik zou mijn klanten nooit misleiden!’ denkt u misschien. Toch blijkt in de praktijk dat het nog vaak mis gaat. Ook zonder dat u zich daarvan bewust bent kunt u zich namelijk schuldig maken aan oneerlijke en misleidende handelspraktijken. In deze factsheet leest u over oneerlijke handelspraktijken.

  • Stilzwijgende verlenging aan banden gelegd

    Levert uw bedrijf producten of diensten op abonnementsbasis aan consumenten en kleine bedrijven? Dan moet u de bedrijfsvoering afstemmen op de zogeheten Wet Van Dam. Deze bepaalt kort gezegd dat de meeste contracten per maand opzegbaar worden.