Spring naar content

Wat is een PIA?

Een PIA is een vragenlijst waarmee je de privacy risico’s van een (marketing)project in kaart brengt. Na het in kaart brengen van de risico’s analyseer je de maatregelen die je genomen hebt om die risico’s te beperken. Bijvoorbeeld doordat je de data pseudonimiseert. Onderaan de streep weeg je deze maatregelen af tegen de risico’s.

Wanneer ben ik verplicht een PIA uit te voeren?

De AVG verplicht de verantwoordelijke om een PIA uit te voeren wanneer de verwerking (of een groep verwerkingen) zorgt voor een hoog risico voor de privacy van de betrokkene. Dit sluit aan bij de nieuwe aanpak van de AVG, waarbij een groot aantal verplichtingen afhankelijk is van het risiconiveau voor de betrokkene. Hoe hoger het risico dat de privacy van betrokkenen geschaad kan worden bij het verwerken van persoonsgegevens, hoe meer verplichtingen de AVG stelt aan die verwerking. Hoe je dit risico hier moet inschatten, lees je in de checklist die we bij dit onderdeel van onze AVG voorlichting aanbieden aan DDMA leden.

Is de PIA een verplichting voor de verantwoordelijke of verwerker?*

De PIA moet worden uitgevoerd door de verantwoordelijke. Wanneer dit onterecht wordt nagelaten is de verantwoordelijke degene die hiervoor beboet kan worden door de Autoriteit Persoonsgegevens. Toch is het ook relevant voor verwerkers om op de hoogte te zijn van deze nieuwe regel. Je bent namelijk verplicht om mee te werken wanneer je opdrachtgever een PIA uitvoert. Weet je niet zeker of je verwerker of verantwoordelijke bent? Vraag dan het document Persoonsgegevens, de basics van onze voorlichtingsreeks aan, daarin lees je meer over deze juridische rolverdeling.

Geldt dit ook voor lopende campagnes of projecten?

Ja, iedere verwerking vanaf 26 mei 2018 valt onder deze verplichting. Dit geldt ook voor verwerkingen die al gestart zijn voordat de AVG gehandhaafd wordt. Je zult dus moeten controleren of het verplicht is om voor lopende campagnes of projecten die doorgaan na 26 mei 2018 alsnog een PIA uit te voeren. Als je dit nalaat, loop je als verantwoordelijke het risico dat je hiervoor beboet wordt.

Wat als uit de PIA blijkt dat het risico hoog blijft?

In de PIA weeg je onderaan de streep de risico’s af tegen de getroffen maatregelen om die risico’s in te perken. Als het privacy risico van je project ondanks de getroffen maatregelen hoog blijft, is het verplicht om de situatie aan de Autoriteit Persoonsgegevens voor te leggen. Zij zullen dan beoordelen of je mag starten met de verwerking.

Ben ik klaar zodra ik een PIA heb uitgevoerd?

Het antwoord laat zich raden; je bent nog niet klaar. Een PIA is een terugkerend proces, waarbij het document regelmatig wordt bijgewerkt. Dit is nodig omdat de verwerkingen van persoonsgegevens kunnen veranderen, waardoor ook de risico’s veranderen. Bijvoorbeeld doordat er gaandeweg wordt besloten om de bestaande klantgegevens te verrijken met persoonsgegevens uit externe bronnen.
Let ook op dat de PIA na afloop van het project vindbaar blijft. Op verzoek van de toezichthouder moet de verantwoordelijke deze kunnen laten zien.

Moet ik een PIA openbaar maken?

Nee, dit is niet wettelijk verplicht. De Artikel 29 Werkgroep** raadt wel aan om een samenvatting openbaar te maken, om zo te zorgen voor meer vertrouwen tussen de betrokkenen en je organisatie. Als ook een samenvatting niet gewenst is kan er ook gemeld worden dat er voorafgaand aan het project een PIA is uitgevoerd.

Wil je de checklist en het template voor een PIA opvragen of ben je geïnteresseerd in onze eerdere publicaties? Check dan nu onze AVG pagina! Je kunt hier ook de andere delen van de AVG voorlichting aanvragen. Alle Algemene Verordening Gegevensbescherming documentatie is exclusief voor leden van DDMA.

*Voorheen bewerker
**Dit is het overkoepelende orgaan van alle Europese Privacy toezichthouders

Speciaal voor leden: Privacy Impact Assessment

In het document Privacy Impact Asessment van onze AVG-voorlichting voor leden leggen we uit wanneer het verplicht is om onder de AVG een PIA uit te voeren. Ook bieden we je een template voor een PIA, zodat je aan de slag kunt. Je kunt deze aanvragen door een mail te sturen naar legal@ddma.nl.

Bekijk hieronder onze hele AVG-voorlichtingsserie:

Ook interessant

Lees meer
Data, Decisions & Engagement |

Podcast Shaping the Future: Transparantie in artificial intelligence (AI) | Met Marieke Peeters (Hogeschool Utrecht & Mooncake)

Shaping the future is een podcast van branchevereniging DDMA die vooruitblikt op de marketingtrends van de toekomst. Elke aflevering gaat een DDMA commissielid in gesprek met een gast-expert uit de…
Lees meer
Conversion Rate Optimisation |

DDMA maakt genomineerden voor de DDMA Dutch CRO Awards 2022 bekend

De DDMA Commissie CRO maakt vandaag de genomineerden van de DDMA Dutch CRO Awards 2022 bekend. Uit alle inzendingen doen de volgende bedrijven mee aan de race voor de winst…
Lees meer
Data, Decisions & Engagement |

Server-side tag management bij HelloFresh als essentiele factor om privacy en compliance te waarborgen

HelloFresh heeft onlangs de switch gemaakt naar server-side tagging. Het heeft ervoor gezorgd dat de maaltijdbezorger veel meer controle heeft over de tracking op hun platform dat in meer dan…