Privacy Impact Assessment ondersteuning

Wat?

DataProtection.Support begeleidt voor u de Privacy Impact Assessment (PIA). Hierbij wordt gebruik gemaakt van de PIA die door de Franse Privacy Auoriteit, de CNIL, beschikbaar is gesteld. Vanuit de Article 29 Workgroup is deze aanbevolen en sluit daarmee aan bij de Algemene Verordening Persoonsbescherming (AVG). DataProtection.Support begeleidt het project en draagt zorg voor een gedegen documentatie.

Waarom?

Een Privacy Impact Assessment (ook Data Protection Impact Assessment of Gegevensbeschermingeffectbeoordeling) moet volgens de AVG uitgevoerd worden indien een verwerking gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In ieder geval moet een PIA worden uitgevoerd volgens de Autoriteit Persoonsgegevens indien:

a. systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;

b. op grote schaal bijzondere persoonsgegevens verwerkt; en/ of

c. op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

De Groep gegevensbescherming artikel 29 heeft aangegeven dat de verwijzing naar "de rechten en vrijheden" van betrokkenen voornamelijk betrekking op de rechten op gegevensbescherming en privacy heeft, maar kan ze ook andere grondrechten betreffen zoals vrijheid van meningsuiting, vrijheid van gedachte, vrijheid van verkeer, discriminatieverbod, recht op vrijheid, en vrijheid van geweten en godsdienst.

Er zijn 9 criteria opgesteld om te helpen te bepalen of voor uw verwerking een hoog risico waarschijnlijk is. Ook wanneer u van mening bent dat u geen PIA hoeft uit te voeren op basis van deze criteria, moet u gemotiveerd documenteren waarom u dezen mening hebt.

Een PIA heeft als basis dat er gekeken wordt naar risico's die op uw verwerking van toepassing zijn. Een PIA moet minimaal elke drie jaar worden geëvalueerd en moet voorafgaand aan een verwerking worden uitgevoerd of indien er wijzigingen zijn in een bestaande verwerking. In bepaalde gevallen waarbij het risico hoog blijft moet vooraf een raadpleging worden gedaan bij de Autoriteit Persoonsgegevens.

Wanneer?

Privacy Impact Assessment ondersteuning is interessant:

  • Indien u zich afvraagt of u een PIA moet uitvoeren;
  • Wanneer u een PIA moet uitvoeren en hier ondersteuning bij wenst; of
  • Wanneer u een PIA heeft uitgevoerd en deze wil laten beoordelen.

Belangrijk:

Een PIA is onvoldoende om aan te tonen dat uw organisatie voldoet aan de AVG. Hiernaast is het voldoen aan de AVG door een goed informatiebeveiligingsbeleid en de voorwaarden uit de AVG onvoldoende om geen PIA uit te voeren.

© 2017 DataProtection.Support. All Rights Reserved. Designed By JoomShaper