Van 31 mei tot en met 12 juni publiceren we elke (werk)dag een artikel over de implementatie van de AVG. Geschreven door Marius van Rijswijk, senior consultant bij Verdonck, Klooster & Associates (VKA).
Artikel 4: Moet ik eigenlijk wel steeds een Privacy Impact Assessment uitvoeren?
De zogenaamde ‘gegevensbeschermingseffectbeoordeling’, zoals de AVG de PIA noemt, zal binnen uw organisatie moeten worden uitgevoerd als sprake is van verwerkingen met een ‘verhoogd risico’. Let op: voer niet te pas en te onpas een PIA uit, dat gebeurd nu erg vaak. Er is namelijk niet zomaar sprake van een verhoogd risico op het schenden van de privacy en dús is een PIA niet altijd nodig. Het is belangrijk om als organisatie privacyrisico’s van een project in een vroeg stadium op een gestructureerde en heldere manier in beeld te brengen. Het uitvoeren van een PIA is daarvoor het geëigende middel.
Er is geen vaste manier om een PIA uit te voeren. De AVG stelt wel een aantal minimale eisen. Er bestaan ook verschillende methodes om een PIA uit te voeren. Kies zelf welke methode voor uw organisatie het meest geschikt is en voldoet aan de voorwaarden uit de AVG. Om te bepalen of er een PIA moet worden uitgevoerd is het goed om eerst de PIA ‘drietrapsraket’ door te nemen. Deze bestaat dus uit drie stappen om te bepalen of een PIA überhaupt noodzakelijk is.
Voer als eerste een globale beoordeling uit op de verwerkingen die u uitvoert. Beoordeel welke risico’s er kleven aan deze verwerkingen. Uit deze beoordeling kan naar voren komen dat er waarschijnlijk géén hoog risico kleeft aan een specifieke verwerking (bijvoorbeeld omdat geen persoonsgegevens worden verwerkt). Er kan ook naar voren komen dat er mogelijk wél een (hoog) risico kleeft aan de verwerking. In het eerste geval hoeft u niets te doen. In het tweede geval voert een uitgebreide PIA uit. Het resultaat van deze stap is een inzicht in de mogelijke risico’s ten aanzien van privacy. Het is logisch (maar op zich niet verplicht) om verbeterpunten te benoemen en zelfs concrete aanbevelingen te doen. Uit de PIA kan naar voren komen dat het hoge risico niet of juist wel kan worden beperkt met redelijke middelen. Als het risico kan worden beperkt, zorg dan dat je de passende maatregelen neemt. Kan het risico echter niet worden beperkt raadpleeg dan de toezichthouder, de Autoriteit Persoonsgegevens.
Het uitvoeren van een PIA wordt vaak gezien als een verplicht ‘vinkje’ dat moet worden gehaald. Het gaat natuurlijk niet om het uitvoeren van de PIA, het gaat om wat u doet met de resultaten. Het is dan ook zaak om in uw methodiek te borgen wie verbeterpunten of aanbevelingen oppakt en monitort.
Bij voorkeur wordt de PIA uitgevoerd door iemand die begrijpt hoe de privacybegrippen passen op het bedrijfsproces. Formeel gezien is het niet de FG die een PIA zou moeten uitvoeren. De FG is wel degene die adviseert over de PIA en de prestatie ervan monitort.
In het volgende artikel wordt ingegaan op de beveiliging van gegevens. Wat zijn nu precies ‘passende en organisatorische maatregelen’ om persoonsgegevens zo goed mogelijk te beschermen?
Marius van Rijswijk is ook een van de sprekers op het HCB Seminar ‘AVG-Proof na 1.5 jaar – Voor kinderopvang, basisonderwijs en kindcentra’ dat georganiseerd wordt door het Haags Congres Bureau op 22 november in Utrecht. Verder met Ina Brouwer, advocaat bij Borg Advocaten en Ard Jan Dunnik, advocaat bij Coupry. Korting voor oud deelnemers Haags Congres Bureau en voor leden van BMK.
Toezichthouder: ‘Verduurzamen zorgt voor vertraging bij versterking’
Hedendaagse jeugdcriminaliteit: nieuwe vragen en enkele antwoorden na een historische daling
Mensen boven Macht – Edwin Tuin
