Overzicht Actueel

AVG voorlichting deel 8: Privacy Impact Assessment

De Algemene Verordening Gegevensbescherming (AVG of in het Engels GDPR) noemt het een ‘gegevensbeschermingseffectbeoordeling’, wij houden het bij Privacy Impact Assessment (PIA). Deze beoordeling is volgend jaar verplichte kost voor gegevensverwerkingen met een hoog privacy risico.  Met de nieuwe boetes in het achterhoofd is het extra belangrijk om alert te zijn of dit bij jouw marketingcampagne het geval is. Bijvoorbeeld wanneer je social media data wilt verzamelen om profielen te verrijken. In deel 8 onze AVG voorlichting voor leden leggen we uit wanneer het verplicht is om onder de AVG een PIA uit te voeren. Ook bieden we je een template voor een PIA, zodat je aan de slag kunt. In deze FAQ beantwoorden we alvast een aantal belangrijke vragen:

Wat is een PIA?
Een PIA is een vragenlijst waarmee je de privacy risico’s van een (marketing)project in kaart brengt. Na het in kaart brengen van de risico’s analyseer je de maatregelen die je genomen hebt om die risico’s te beperken. Bijvoorbeeld doordat je de data pseudonimiseert. Onderaan de streep weeg je deze maatregelen af tegen de risico’s.

Wanneer ben ik verplicht een PIA uit te voeren?
De AVG verplicht de verantwoordelijke om een PIA uit te voeren wanneer de verwerking (of een groep verwerkingen) zorgt voor een hoog risico voor de privacy van de betrokkene. Dit sluit aan bij de nieuwe aanpak van de AVG, waarbij een groot aantal verplichtingen afhankelijk is van het risiconiveau voor de betrokkene. Hoe hoger het risico dat de privacy van betrokkenen geschaad kan worden bij het verwerken van persoonsgegevens, hoe meer verplichtingen de AVG stelt aan die verwerking. Hoe je dit risico hier moet inschatten, lees je in de checklist die we bij dit onderdeel van onze AVG voorlichting aanbieden aan DDMA leden.

Is de PIA een verplichting voor de verantwoordelijke of verwerker?*
De PIA moet worden uitgevoerd door de verantwoordelijke. Wanneer dit onterecht wordt nagelaten is de verantwoordelijke degene die hiervoor beboet kan worden door de Autoriteit Persoonsgegevens. Toch is het ook relevant voor verwerkers om op de hoogte te zijn van deze nieuwe regel. Je bent namelijk verplicht om mee te werken wanneer je opdrachtgever een PIA uitvoert. Weet je niet zeker of je verwerker of verantwoordelijke bent? Vraag dan deel 2 van onze voorlichtingsreeks aan, daarin lees je meer over deze juridische rolverdeling.

Geldt dit ook voor lopende campagnes of projecten?
Ja, iedere verwerking vanaf 26 mei 2018 valt onder deze verplichting. Dit geldt ook voor verwerkingen die al gestart zijn voordat de AVG gehandhaafd wordt. Je zult dus moeten controleren of het verplicht is om voor lopende campagnes of projecten die doorgaan na 26 mei 2018 alsnog een PIA uit te voeren. Als je dit nalaat, loop je als verantwoordelijke het risico dat je hiervoor beboet wordt.

Wat als uit de PIA blijkt dat het risico hoog blijft?
In de PIA weeg je onderaan de streep de risico’s af tegen de getroffen maatregelen om die risico’s in te perken. Als het privacy risico van je project ondanks de getroffen maatregelen hoog blijft, is het verplicht om de situatie aan de Autoriteit Persoonsgegevens voor te leggen. Zij zullen dan beoordelen of je mag starten met de verwerking.

Ben ik klaar zodra ik een PIA heb uitgevoerd?
Het antwoord laat zich raden; je bent nog niet klaar. Een PIA is een terugkerend proces, waarbij het document regelmatig wordt bijgewerkt. Dit is nodig omdat de verwerkingen van persoonsgegevens kunnen veranderen, waardoor ook de risico’s veranderen. Bijvoorbeeld doordat er gaandeweg wordt besloten om de bestaande klantgegevens te verrijken met persoonsgegevens uit externe bronnen.
Let ook op dat de PIA na afloop van het project vindbaar blijft. Op verzoek van de toezichthouder moet de verantwoordelijke deze kunnen laten zien.

Moet ik een PIA openbaar maken?
Nee, dit is niet wettelijk verplicht. De Artikel 29 Werkgroep** raadt wel aan om een samenvatting openbaar te maken, om zo te zorgen voor meer vertrouwen tussen de betrokkenen en je organisatie. Als ook een samenvatting niet gewenst is kan er ook gemeld worden dat er voorafgaand aan het project een PIA is uitgevoerd.

Wil je de checklist en het template voor een PIA opvragen of ben je geïnteresseerd in onze eerdere publicaties? Check dan nu onze AVG pagina! Je kunt hier ook de andere delen van de AVG voorlichting aanvragen. Alle Algemene Verordening Gegevensbescherming documentatie is exclusief voor leden van DDMA. Op 14 december is er ook een live AVG voorlichting voor DDMA leden, waar je nog meer uitleg krijgt over de Privacy Impact Assessment, de administratieplicht en profilering. Je kunt daar vragen stellen aan onze Legal Counsels Sanne en Matthias. Daarnaast nodigen we altijd een van onze leden uit om te komen vertellen over de praktijk van de voorbereiding op de AVG. Vind jij het leuk om dat te komen doen? Laat het dan even weten aan Matthias of Sanne!

*Voorheen bewerker
**Dit is het overkoepelende orgaan van alle Europese Privacy toezichthouders