Spring naar content

DDMA Checklist: Privacy Impact Assessment verplicht of niet? (exclusief voor leden)

Inloggen Word lid

DDMA Template: Privacy Impact Assessment (exclusief voor leden)

Inloggen Word lid

Wat is een PIA?

Een PIA is een vragenlijst waarmee je de privacy risico’s van een (marketing)project in kaart brengt. Na het in kaart brengen van de risico’s analyseer je de maatregelen die je genomen hebt om die risico’s te beperken. Bijvoorbeeld doordat je de data pseudonimiseert. Onderaan de streep weeg je deze maatregelen af tegen de risico’s.

Wanneer ben ik verplicht een PIA uit te voeren?

De AVG verplicht de verantwoordelijke om een PIA uit te voeren wanneer de verwerking (of een groep verwerkingen) zorgt voor een hoog risico voor de privacy van de betrokkene. Dit sluit aan bij de nieuwe aanpak van de AVG, waarbij een groot aantal verplichtingen afhankelijk is van het risiconiveau voor de betrokkene. Hoe hoger het risico dat de privacy van betrokkenen geschaad kan worden bij het verwerken van persoonsgegevens, hoe meer verplichtingen de AVG stelt aan die verwerking. Hoe je dit risico hier moet inschatten, lees je in de checklist die we bij dit onderdeel van onze AVG voorlichting aanbieden aan DDMA leden.

Is de PIA een verplichting voor de verantwoordelijke of verwerker?*

De PIA moet worden uitgevoerd door de verantwoordelijke. Wanneer dit onterecht wordt nagelaten is de verantwoordelijke degene die hiervoor beboet kan worden door de Autoriteit Persoonsgegevens. Toch is het ook relevant voor verwerkers om op de hoogte te zijn van deze nieuwe regel. Je bent namelijk verplicht om mee te werken wanneer je opdrachtgever een PIA uitvoert. Weet je niet zeker of je verwerker of verantwoordelijke bent? Vraag dan het document Persoonsgegevens, de basics van onze voorlichtingsreeks aan, daarin lees je meer over deze juridische rolverdeling.

Geldt dit ook voor lopende campagnes of projecten?

Ja, iedere verwerking vanaf 26 mei 2018 valt onder deze verplichting. Dit geldt ook voor verwerkingen die al gestart zijn voordat de AVG gehandhaafd wordt. Je zult dus moeten controleren of het verplicht is om voor lopende campagnes of projecten die doorgaan na 26 mei 2018 alsnog een PIA uit te voeren. Als je dit nalaat, loop je als verantwoordelijke het risico dat je hiervoor beboet wordt.

Wat als uit de PIA blijkt dat het risico hoog blijft?

In de PIA weeg je onderaan de streep de risico’s af tegen de getroffen maatregelen om die risico’s in te perken. Als het privacy risico van je project ondanks de getroffen maatregelen hoog blijft, is het verplicht om de situatie aan de Autoriteit Persoonsgegevens voor te leggen. Zij zullen dan beoordelen of je mag starten met de verwerking.

Ben ik klaar zodra ik een PIA heb uitgevoerd?

Het antwoord laat zich raden; je bent nog niet klaar. Een PIA is een terugkerend proces, waarbij het document regelmatig wordt bijgewerkt. Dit is nodig omdat de verwerkingen van persoonsgegevens kunnen veranderen, waardoor ook de risico’s veranderen. Bijvoorbeeld doordat er gaandeweg wordt besloten om de bestaande klantgegevens te verrijken met persoonsgegevens uit externe bronnen.
Let ook op dat de PIA na afloop van het project vindbaar blijft. Op verzoek van de toezichthouder moet de verantwoordelijke deze kunnen laten zien.

Moet ik een PIA openbaar maken?

Nee, dit is niet wettelijk verplicht. De Artikel 29 Werkgroep** raadt wel aan om een samenvatting openbaar te maken, om zo te zorgen voor meer vertrouwen tussen de betrokkenen en je organisatie. Als ook een samenvatting niet gewenst is kan er ook gemeld worden dat er voorafgaand aan het project een PIA is uitgevoerd.

Wil je de checklist en het template voor een PIA downloaden of ben je geïnteresseerd in onze eerdere publicaties? Check dan nu onze AVG pagina! Je kunt hier ook de andere delen van de AVG voorlichting aanvragen. Alle Algemene Verordening Gegevensbescherming documentatie is exclusief voor leden van DDMA.

*Voorheen bewerker
**Dit is het overkoepelende orgaan van alle Europese Privacy toezichthouders

Speciaal voor leden: Privacy Impact Assessment

In het document Privacy Impact Asessment van onze AVG-voorlichting voor leden leggen we uit wanneer het verplicht is om onder de AVG een PIA uit te voeren. Ook bieden we je een template voor een PIA, zodat je aan de slag kunt.

DDMA Checklist: Privacy Impact Assessment verplicht of niet? (exclusief voor leden)

Inloggen Word lid

DDMA Template: Privacy Impact Assessment (exclusief voor leden)

Inloggen Word lid

Bekijk hieronder onze hele AVG-voorlichtingsserie:

Ook interessant

Lees meer
Artificial Intelligence |

Best of DDMA Research & Insights 2024

In een marketingtijdperk waarin data, technologie en consumentengedrag continu veranderen, is gedegen onderzoek cruciaal. Door middel van uitgebreide (consumenten)onderzoeken en benchmarks bieden we onze leden grip op deze veranderingen. In…
Lees meer
AVG |

Belgische toezichthouder legt dwangsom op aan Mediahuis en RTL BE vanwege onduidelijk weergegeven weigerknop in cookiebanner

In 2023 kondigde de Belgische toezichthouder (GBA) aan cookies tot een prioriteit te maken, en die belofte is waargemaakt. In dit artikel bespreken we twee uitspraken naar aanleiding van klachten…
Lees meer
Data, Decisions & Engagement |

Data-Driven Marketing Research 2024 – Deep Dive 3: Apparent contradiction; no widespread adoption of AI within the marketing sector yet

Despite the fact that AI is on everyone’s lips, the Data-Driven Marketing Survey (DDMO) 2024 reveals that AI is not yet widely applied within the marketing sector: 1 in 4…