Is er binnen uw organisatie sprake van verwerkingen met een verhoogd risico tot privacyschending? Dan zal de zogenaamde ‘Privacy Impact Assessment’ (PIA) uitgevoerd moeten worden. Hierbij kunt u bijvoorbeeld denken aan uitzendbureaus die te maken hebben met een hoop belangrijke persoonsgegevens. Binnen deze bedrijven is er dus ook een verhoogde kans op het schenden van de privacy van al deze gegevens, waardoor de PIA nodig is. Het is belangrijk om als bedrijf de privacyrisico’s in een vroeg stadium op een gestructureerde en heldere manier in kaart te brengen. Hierbij kunt u denken aan een portal waarop uren en inschrijvingen van kandidaten geregistreerd kunnen worden. Het uitvoeren van een PIA is daarvoor een goed middel.
Er bestaan verschillende manieren om een PIA uit te voeren. Welke u kiest maakt in principe niet uit, de AVG stelt wel een aantal minimale eisen bij het uitvoeren van een PIA. U kiest de methode uit die het meest geschikt is voor uw organisatie en voldoet aan de voorwaarden uit de AVG. Om te bepalen of het uitvoeren van een PIA überhaupt noodzakelijk is, kunt u de volgende drie stappen volgen:
Stap 1
Voer een globale beoordeling uit op de verwerkingen die u doet. Dit heeft u als het goed is al gedaan tijdens het inrichten van het register van verwerkingsactiviteiten. Beoordeel welke risico’s er allemaal kleven aan deze verwerkingen. Hieruit kan naar voren komen dat er bijvoorbeeld géén hoog risico hangt aan een specifieke verwerking, omdat er bijvoorbeeld niet tot nauwelijks persoonsgegevens worden verwerkt. In dat geval hoeft u dus ook geen PIA uit te voeren. Wanneer er wel risico’s kleven aan een bepaalde verwerking, is het uitvoeren van een PIA natuurlijk wel noodzakelijk.
Stap 2
Het daadwerkelijk uitvoeren van een PIA. Het is wel belangrijk dat deze voldoet aan de gestelde eisen van de AVG. Het resultaat hiervan is inzicht in de mogelijke risico’s op het gebied van privacy. Op basis hiervan kunnen verbeterpunten en maatregelen genoemd worden die hierbij zullen helpen.
Stap 3
Kan het risico niet worden beperkt? Raadpleeg dan de toezichthouder, de Autoriteit Persoonsgegevens.
Het uitvoeren van een PIA is geen eenmalig project, maar een doorlopend proces: wat doet u daadwerkelijk met de resultaten die hieruit voortvloeien? Het is noodzakelijk om iemand aan te stellen voor het oppakken en monitoren van alle verbeterpunten en maatregelen. Formeel gezien is het niet de FG die een PIA moet uitvoeren, maar de betrokkenen bij het proces. De FG is wel degene die adviseert over de PIA en de uitkomsten ervan monitort.
Meer weten over hoe u zorgt voor de juiste beveiliging van de belangrijke persoonsgegevens? Lees dan hier artikel 5. < TERUG