Spring naar content

Wat is een PIA?

Een PIA is een vragenlijst waarmee je de privacy risico’s van een (marketing)project in kaart brengt. Na het in kaart brengen van de risico’s analyseer je de maatregelen die je genomen hebt om die risico’s te beperken. Bijvoorbeeld doordat je de data pseudonimiseert. Onderaan de streep weeg je deze maatregelen af tegen de risico’s.

Wanneer ben ik verplicht een PIA uit te voeren?

De AVG verplicht de verantwoordelijke om een PIA uit te voeren wanneer de verwerking (of een groep verwerkingen) zorgt voor een hoog risico voor de privacy van de betrokkene. Dit sluit aan bij de nieuwe aanpak van de AVG, waarbij een groot aantal verplichtingen afhankelijk is van het risiconiveau voor de betrokkene. Hoe hoger het risico dat de privacy van betrokkenen geschaad kan worden bij het verwerken van persoonsgegevens, hoe meer verplichtingen de AVG stelt aan die verwerking. Hoe je dit risico hier moet inschatten, lees je in de checklist die we bij dit onderdeel van onze AVG voorlichting aanbieden aan DDMA leden.

Is de PIA een verplichting voor de verantwoordelijke of verwerker?*

De PIA moet worden uitgevoerd door de verantwoordelijke. Wanneer dit onterecht wordt nagelaten is de verantwoordelijke degene die hiervoor beboet kan worden door de Autoriteit Persoonsgegevens. Toch is het ook relevant voor verwerkers om op de hoogte te zijn van deze nieuwe regel. Je bent namelijk verplicht om mee te werken wanneer je opdrachtgever een PIA uitvoert. Weet je niet zeker of je verwerker of verantwoordelijke bent? Vraag dan het document Persoonsgegevens, de basics van onze voorlichtingsreeks aan, daarin lees je meer over deze juridische rolverdeling.

Geldt dit ook voor lopende campagnes of projecten?

Ja, iedere verwerking vanaf 26 mei 2018 valt onder deze verplichting. Dit geldt ook voor verwerkingen die al gestart zijn voordat de AVG gehandhaafd wordt. Je zult dus moeten controleren of het verplicht is om voor lopende campagnes of projecten die doorgaan na 26 mei 2018 alsnog een PIA uit te voeren. Als je dit nalaat, loop je als verantwoordelijke het risico dat je hiervoor beboet wordt.

Wat als uit de PIA blijkt dat het risico hoog blijft?

In de PIA weeg je onderaan de streep de risico’s af tegen de getroffen maatregelen om die risico’s in te perken. Als het privacy risico van je project ondanks de getroffen maatregelen hoog blijft, is het verplicht om de situatie aan de Autoriteit Persoonsgegevens voor te leggen. Zij zullen dan beoordelen of je mag starten met de verwerking.

Ben ik klaar zodra ik een PIA heb uitgevoerd?

Het antwoord laat zich raden; je bent nog niet klaar. Een PIA is een terugkerend proces, waarbij het document regelmatig wordt bijgewerkt. Dit is nodig omdat de verwerkingen van persoonsgegevens kunnen veranderen, waardoor ook de risico’s veranderen. Bijvoorbeeld doordat er gaandeweg wordt besloten om de bestaande klantgegevens te verrijken met persoonsgegevens uit externe bronnen.
Let ook op dat de PIA na afloop van het project vindbaar blijft. Op verzoek van de toezichthouder moet de verantwoordelijke deze kunnen laten zien.

Moet ik een PIA openbaar maken?

Nee, dit is niet wettelijk verplicht. De Artikel 29 Werkgroep** raadt wel aan om een samenvatting openbaar te maken, om zo te zorgen voor meer vertrouwen tussen de betrokkenen en je organisatie. Als ook een samenvatting niet gewenst is kan er ook gemeld worden dat er voorafgaand aan het project een PIA is uitgevoerd.

Wil je de checklist en het template voor een PIA opvragen of ben je geïnteresseerd in onze eerdere publicaties? Check dan nu onze AVG pagina! Je kunt hier ook de andere delen van de AVG voorlichting aanvragen. Alle Algemene Verordening Gegevensbescherming documentatie is exclusief voor leden van DDMA.

*Voorheen bewerker
**Dit is het overkoepelende orgaan van alle Europese Privacy toezichthouders

Speciaal voor leden: Privacy Impact Assessment

In het document Privacy Impact Asessment van onze AVG-voorlichting voor leden leggen we uit wanneer het verplicht is om onder de AVG een PIA uit te voeren. Ook bieden we je een template voor een PIA, zodat je aan de slag kunt. Je kunt deze aanvragen door een mail te sturen naar legal@ddma.nl.

Bekijk hieronder onze hele AVG-voorlichtingsserie:

Ook interessant

Lees meer
Influencermarketing |

Branche blij met duidelijkheid: extra regels en toezicht voor influencers met meer dan 500.000 volgers – Sector roept voorlichtingswebsite over regels in het leven   

Amsterdam, 17 mei 2022 – Influencers met meer dan 500.000 volgers vallen voortaan onder toezicht van het Commissariaat voor de Media. Zij krijgen te maken met extra reclameregels in de…
Lees meer
Search |

Simo Ahava (8-bit-sheep): ‘Technology doesn’t change the status quo. It’s how that technology is used’

Server-side tagging is often presented as the solution for problems relating to the sunset of third-party cookies. And although server-side would be a solution for a lot of companies, it…
Lees meer
Conversion Rate Optimisation |

Dark patterns – wat mag wel en niet volgens de EDPB

De European Data Protection Board (EDPB – koepel van alle Europese privacytoezichthouders) heeft nieuwe guidelines vastgesteld over het herkennen en vermijden van dark patterns op sociale media. De guideline is…