Privacy Impact Assessment

Uit Wikipedia, de vrije encyclopedie
Naar navigatie springen Naar zoeken springen

Een Privacy Impact Assessment (PIA) ofwel privacy-effect-beoordeling is een instrument waarmee organisaties privacyrisico's in een vroegtijdig stadium op een gestructureerde en heldere manier in kaart kunnen brengen bij het bouwen van informatiesystemen of aanleggen van databestanden (en daarmee ook hogere kosten bij wijzigingen in informatiesystemen achteraf kunnen besparen). Het doel van de PIA is dan ook het voorkomen van kostbare aanpassingen in processen, herontwerp van systemen of stopzetten van een project door vroegtijdig inzicht in de belangrijkste privacyrisico’s. Bedrijven of instellingen die de privacybescherming van klanten en relaties willen waarborgen kunnen een PIA (laten) uitvoeren om zich positief te onderscheiden van de concurrentie maar ook om voorbereid te zijn op (interne of externe) audits. In de Algemene verordening gegevensbescherming (AVG) wordt in de Engelse vertaling de term data protection impact assessment (DPIA) gebruikt of, in de Nederlandse vertaling gegevensbeschermingseffectbeoordeling (GEB). Onder de AVG kunt u verplicht zijn een PIA uit te voeren.[1]

Handreiking voor de uitvoering van een PIA[bewerken]

De Nederlandse Orde van Register EDP-Auditors (NOREA) heeft in samenwerking met o.a. het Auditdienst Rijk (ADR) en de Autoriteit Persoonsgegevens een Handreiking voor de uitvoering van een PIA gepubliceerd, bedoeld om organisaties in staat te stellen privacy mee te laten wegen in de besluitvorming m.b.t. de ontwikkeling van producten en diensten. Volgens de NOREA legt de PIA "in de eerste plaats de risico’s bloot van projecten die te maken hebben met privacy en dragen bij aan het vermijden of verminderen van deze privacyrisico’s. Op basis van de antwoorden van de PIA wordt op systematische wijze inzichtelijk gemaakt of er een kans is dat de privacy van betrokkene wordt geschaad, hoe hoog deze is en op welke gebieden dit is".

De PIA zoals uitgegeven door NOREA[2] is door RAVIB.nl geïmplementeerd in een gratis beschikbare tool.

Nederlandse Parlement[bewerken]

In mei 2011 heeft de Eerste Kamer een motie[3] van een CDA-lid aangenomen die de regering verzoekt om bij wetsvoorstellen, waarbij van een beperking op het grondrecht van de bescherming van de persoonlijke levenssfeer sprake is, onder andere een PIA in de afweging en besluitvorming te betrekken. De eerste PIA die naar aanleiding van deze motie werd uitgevoerd (gepubliceerd februari 2013) is die bij het wetsvoorstel ANPR[4] (wetsvoorstel tot aanpassing van het Wetboek van Strafvordering in verband met de regeling van het vastleggen en bewaren van kentekengegevens voor automatische nummerplaatherkenning).[5]

Europese Privacyverordening[bewerken]

In de Algemene verordening gegevensbescherming is opgenomen dat de Autoriteit Persoonsgegevens een boete van maximaal €20.000.000,00 (of 4% van de totale wereldwijde omzet, in het geval van een multinational) kan opleggen aan bedrijven of instellingen die bewust of door onzorgvuldigheid (herhaaldelijk) persoonsgegevens verwerken zonder geldige grondslag, zoals d.m.v. een PIA getoetst wordt.

Toetsmodel Privacy Impact Assessment (PIA) Rijksdienst[bewerken]

Sinds 1 september 2014 is volgens het Regeerakkoord een PIA verplicht bij de ontwikkeling van nieuwe ICT-systemen of de aanleg van grote databestanden door de Rijksoverheid. Het Toetsmodel Privacy Impact Assessment (PIA) Rijksdienst is een hulpmiddel om bij ontwikkeling van beleid, en de daarmee gepaard gaande wetgeving of bouw van ICT-systemen en aanleg van databestanden, privacyrisico’s op gestructureerde en heldere wijze in kaart te brengen. Het PIA-toetsmodel is specifiek gericht op de Rijksdienst en bedoeld voor toepassing op alle beleidsgebieden en binnen alle rechtsdomeinen. Projecten waarbij spraak is van verwerking van persoonsgegevens dienen een PIA uit te (laten) voeren.[6][7]

Zie ook[bewerken]