Functionele cookies

Wij plaatsen functionele cookies om deze website naar behoren te laten functioneren en analytische cookies waarmee wij het gebruik van de website kunnen meten. Deze cookies gebruiken geen persoonsgegevens.

Gepersonaliseerde informatie

Hiermee ontvangt u gepersonaliseerde informatie op onze website die wordt afgestemd op uw internetgedrag.

De AVG heeft als belangrijkste uitgangspunten: de verplichting om al voorafgaand aan een verwerking na te denken over de gevolgen voor de privacy van de betrokkenen, maatregelen te treffen om de privacy te beschermen én om die getroffen maatregelen ook te kunnen aantonen. Dat betekent gedocumenteerd en geïmplementeerd. Deze uitgangspunten komen samen in de verplichting om – bij verwerkingen met een verhoogd risico – een Privacy Impact Assessment (PIA) uit te voeren.

In welke gevallen?

Artikel 35 van de AVG beschrijft in welke gevallen je een PIA moet uitvoeren. Zoals we uit het privacyrecht gewend zijn is de hoofdregel gevat in termen die voor velerlei uitleg vatbaar zijn: er moet sprake zijn van een verwerking die ‘waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen’. Maar het vervolg van het artikel is verrassend concreet. Een PIA moet in ieder geval worden uitgevoerd wanneer sprake is van:

  • Profilering waaraan rechtsgevolgen zijn verbonden;
  • Grootschalige verwerking van bijzondere persoonsgegevens;
  • Monitoring van openbaar toegankelijk ruimtes;
  • Verwerkingen die zijn opgenomen op een door de toezichthouder de publiceren lijst.

Betekent dit dat je in alle andere gevallen kan afzien van een privacy beoordeling? Nee, de verplichting om vóór aanvang van de verwerking maatregelen te treffen om de privacy van de betrokkenen te borgen én om dit aantoonbaar te doen blijft immers bestaan. Wel kun je ervoor kiezen om deze inventarisatie te doen door middel van een beperktere toets, bijvoorbeeld door gebruik te maken van een verkorte risico-analyse, ook wel VRA genoemd.

De inhoud van de PIA

Verder staat in artikel 35 AVG beschreven welke onderwerpen in de PIA in ieder geval aan de orde moeten komen. Ik raad je echter aan om niet zelf een PIA te ontwerpen, maar gebruik te maken van één van de beschikbare modellen. Dan weet je zeker dat de onderwerpen die aan bod moeten komen ook daadwerkelijk besproken worden. Gemeenten maken vaak gebruik van de PIA van de IBD. Zelf werk ik liever met de PIA van NOREA, omdat ik de toelichting daarvan begrijpelijker vind. De opzet is hetzelfde: er wordt een vragenlijst ingevuld met ja/nee vragen, daaruit komen risico’s voort. Die risico’s moeten gedekt worden met maatregelen. Deze risico’s en de voorgestelde maatregelen worden opgenomen in een verslag en het geheel wordt ten slotte voorgelegd aan de Functionaris voor de Gegevensbescherming.

Uit het voorgaande volgt direct het grootste risico van de PIA: na vaststelling van de risico’s en voorgestelde maatregelen is de PIA afgerond, het vinkje gezet en kijkt er niemand nog naar de uitvoering van die voorgestelde maatregelen. Daarmee wordt natuurlijk de hele opzet van het afnemen van een PIA onderuit gehaald: als er op de geconstateerde risico’s geen maatregelen worden genomen, is de kans groot dat het risico zich daadwerkelijk omzet in schending van de privacy. De belangrijkste opdracht aan gemeenten is dan ook om de PIA zo in te bedden in de werkprocessen dat er ook monitoring plaatsvindt van de voorgestelde maatregelen. Neem in het verslag van de PIA een plan van aanpak op, waarin mijlpalen en controle daarop worden benoemd. Laat iedere maand maar zien hoe ver je bent met de voorgestelde maatregelen. Alleen zo heeft het afnemen van een PIA toegevoegde waarde en is de cyclus van Plan, Do, Check en Act rond.

Praktische zaken

Tot slot nog enkele praktische zaken waar gemeenten tegenaan lopen. Want wie voert de PIA uit? Onbekend maakt onbemind, dus bij gemeenten die vooruitlopend op de AVG al gestart zijn met PIA’s, zie ik dat de daadwerkelijke uitvoering van een PIA van de ene naar de andere collega wordt geschoven. Spreek dus van tevoren af bij wie deze verantwoordelijkheid ligt. Praktisch is om een samenwerking op te zetten tussen medewerkers met inhoudelijke kennis van het proces en medewerkers met kennis van privacy en informatiebeveiliging. Zo voorkom je dat voor elke vraag weer een e-mail de organisatie in moet, met het risico dat er in het geheel geen PIA wordt afgerond.

Ook is het vaak onduidelijk wat de ‘verwerking’ inhoudt waarover de PIA moet plaatsvinden. Binnen gemeenten spreken ze namelijk in termen van processen en applicaties. Het begrip verwerking fietst daar precies doorheen. Vaak geef ik de tip mee om uit te gaan van een geheel proces en pas wanneer je vastloopt bij het invullen van de PIA, omdat je te vaak en/of moet gebruiken, je ervoor kunt kiezen om het proces te splitsen. De AVG beschrijft het zo dat één PIA een reeks vergelijkbare verwerkingen kan bestrijken die vergelijkbare hoge risico’s inhouden.

De boodschap

De belangrijkste boodschap om over te brengen binnen je gemeente is dat men PIA niet alleen moet zien als last en extra werk, maar door voorafgaand aan de verwerking rekening te houden met mogelijke gevolgen voor privacy men veel werk kan besparen als moeilijke vragen van burgers, aandacht van de toezichthouder en imagoschade door slechte pers.

Gerelateerde artikelen
Alle artikelen