PIA en DPIA

De Algemene Verordening Gegevensbescherming (‘AVG’ of – in het Engels ‘GDPR’), heeft sinds vorig jaar behoorlijk wat nieuwe verplichtingen in het leven geroepen. Eén daarvan is de plicht om in bepaalde gevallen een ‘Data Protection Impact Assessment’ (‘DPIA’) of ‘Privacy Impact Assessment’ (‘PIA’). In lelijk Nederlands noemt de AVG het een ‘gegevensbeschermingseffectbeoordeling’. Los van de mogelijke woordwaarde bij Scrabble, behelst deze term een behoorlijk vergaande plicht tot zelfonderzoek. Iedere organisatie – ongeacht of er ‘verwerkers’ bij worden ingeschakeld – wordt in bepaalde gevallen gedwongen om risico’s in kaart te brengen. Er dient een onderzoek plaats te vinden naar de impact die haar verwerking van persoonsgegevens heeft op de privacy van de betrokkenen. Dit geldt overigens enkel voor risicovolle verwerkingen die sinds 25 mei 2018 zijn ingevoerd of gewijzigd.

Wanneer is zelfonderzoek verplicht?

Soms kan een verwerking van persoonsgegevens waarschijnlijk gepaard gaan met hoge risico’s voor de privacy van mensen. In dat geval dient een organisatie een PIA of DPIA uit te voeren. Dit onderzoek is bedoeld om met name de oorsprong, de aard, het specifieke karakter en de ernst van dat risico te evalueren. Vervolgens zal de organisatie haar beveiligingsmaatregelen moeten aanpassen aan de uitkomst van het onderzoek. Wanneer de risico’s toenemen, dan zijn logischerwijs ook weer strengere maatregelen nodig om de persoonsgegevens te beveiligen.

Soms zal een PIA of DPIA organisatiebreed moeten worden ingezet. In bijzondere gevallen, zeker bij zeer grootschalige of supranationale verwerkingen van persoonsgegevens, per project of zelfs per verwerking. Een PIA of DPIA zal met name worden ingezet bij ‘profiling’ (bijvoorbeeld van webshopbezoekers) of grootschalige verwerking van bijzondere of strafrechtelijke persoonsgegevens. Maar bijvoorbeeld ook bij stelselmatige observatie van publieke ruimten.
Wanneer een PIA of DPIA uitwijst dat een bepaalde verwerking gepaard gaat met een hoog risico dat door de beschikbare technologie of hoge uitvoeringskosten maar moeilijk beperkt kan worden, dan dient vóór de verwerking raadpleging van de Autoriteit Persoonsgegevens plaats te vinden.

De reden voor zelfonderzoek

De reden om de plicht van zelfonderzoek in te voeren is omdat men vond dat de oude regelgeving niet werkte. Deze zou onvoldoende waarborgen bieden voor de privacy van betrokken personen, zeker in gevallen van het gebruik van nieuwe technologieën of wanneer het type van verwerkingen nieuw is. Vooral dan dienen organisaties op hun hoede te zijn. Bij de PIA en DPIA zullen organisaties met name moeten kijken naar de geplande maatregelen, de waarborgen en de mechanismen om het gesignaleerde risico te beperken. Uiteindelijk moet men kunnen aantonen dat de persoonsgegevens voldoende zijn beschermd en dat aan de AVG is voldaan.

Wie dient de PIA of DPIA uit te voeren?

De organisatie die de persoonsgegevens verwerkt (of laat verwerken) dient dit te doen. De organisatie zal aan de hand van vele vragen en criteria de verwerkingen van persoonsgegevens moeten onderzoeken. Vervolgens kan met uit het rapport conclusies trekken voor de praktijk. De eventuele ‘functionaris voor gegevensbescherming’ (ook wel ‘FG’ of ‘privacy officer’) dient bij een PIA of DPIA betrokken te zijn. Het wordt voor complexe verwerkingen of voor organisaties zonder FG aanbevolen om contact te hebben met één van de privacyspecialisten van NORD. Mede op basis van de uitkomsten van een PIA of DPIA kan een strategie worden gemaakt voor de te nemen passende beveiligingsmaatregelen. Deze dienen dan uiteindelijk ook weer hun weerslag te vinden in de privacy-administratie.

PIA en DPIA
Geplaatst op 4 april 2019 door Koen Konings