Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Vanaf dat moment geldt deze privacywetgeving voor de hele Europese Unie. De voorheen geldende wet bescherming persoonsgegevens (Wpb) bestaat niet meer. Een van de eisen van de AVG is het uitvoeren van een PIA: Privacy Impact Assessment.

Wat is een PIA?

Bij de verwerking van persoonsgegevens is er soms een onderzoek nodig naar de gevolgen van deze verwerking, dit onderzoek wordt een PIA genoemd. Het wordt ook wel eens een DPIA genoemd, dit staat voor Data Protection Impact Assessment. Wij gebruiken in Nederland ook wel de term: Gegevensbeschermingseffectbeoordeling. Het onderzoek dient altijd voorafgaand een verwerking te worden uitgevoerd. Hierbij wordt er gekeken wie toestemming krijgt tot welke gegevens en welke risico’s er mogelijk zijn. Zo heb je vooraf een goede risico analyse en kun je preventief maatregelen nemen.

Wanneer is een PIA vereist?

Ga je privacygevoelige gegevens verwerken, dan zitten dan mogelijke risico’s aan een complete Privacy Impact Analyse (PIA)is dan aan te raden. Dit is een uitgebreid onderzoek om risico’s in kaart te brengen en deze zo veel mogelijk weg te nemen. Pas nadat de PIA is uitgevoerd en wanneer de resultaten geïmplementeerd, mag je die risicovolle verwerking uitvoeren. Onze specialisten kunnen je helpen met de uitvoering van de PIA-scan, zodat je inzicht krijgt in de acties die nog nodig zijn om compliant te worden.

Zo’n PIA is met name vereist in de volgende gevallen:

1. een systematische, uitgebreide beoordeling van de doelgroep, gebaseerd op geautomatiseerde verwerking zoals profilering. De besluiten die worden genomen zijn gebaseerd op deze uitkomst en kunnen effect hebben op deze persoon.
2. grootschalige verwerking van bijzondere persoonsgegevens of van gegevens die betrekking hebben tot strafrechtelijke veroordelingen en strafbare feiten
3. stelselmatig en grootschalig monitoring van openbaar toegankelijke ruimten.

(Artikel 35 Gegevensbeschermingseffectbeoordeling)