Privacy Impact Assessment

Per 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming. Bij gegevensverwerkingen met een hoog privacy risico is het verplicht een Privacy Impact Assessment (PIA) uit te voeren. De PIA helpt u in een vroegtijdig stadium de privacyrisico’s van uw gegevensverwerking in kaart te brengen. Op basis van deze risico- en impactanalyse kunt u passende maatregelen treffen om uw data te beschermen.

De PIA

Vanaf 25 mei 2018 gelden nieuwe Europese regels voor dataprotectie. Eén van de onderdelen hiervan
is dat een Privacy Impact Assessment verplicht is zodra uw gegevensverwerking een hoog privacyrisico oplevert voor betrokkenen.
Ik wil ZorgTTP een PIA laten doen

Wanneer heeft mijn gegevensverwerking een hoog privacyrisico?

U bent verplicht een Privacy Impact Assessment uit te voeren op het moment dat de gegevensverwerking een hoog privacyrisico oplevert voor de betrokkenen. Dit is in ieder geval zo wanneer een organisatie systematisch en uitvoerig persoonlijke aspecten evalueert (profiling), op grote schaal bijzondere persoonsgegevens verwerkt of systematisch en op grote schaal mensen volgt in een publiek toegankelijk gebied (cameratoezicht).

De Werkgroep van Europese Toezichthouders (WP29) heeft criteria opgesteld om te toetsen of een PIA noodzakelijk is. Beoordeel zelf wat voor u van toepassings is:

  • Gevoelige gegevens: Bijzondere categorieën van persoonsgegevens (art. 9 AVG). Het betreft hier informatie over ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, een lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op unieke identificatie van een persoon of gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid. Tot slot gaat het ook over gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.
  • Beoordelen van mensen op basis van persoonskenmerken: Het gaat hier om profiling en het maken van prognoses op basis van iemand zijn of haar beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen.
  • Gegevens over kwetsbare personen: Hier gaat het bijvoorbeeld om werknemers, kinderen of patiënten waar een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke is. In situaties met een niet-gelijke machtsverhouding is het mogelijk dat betrokkenen niet in vrijheid toestemming kunnen geven of weigeren voor de verwerking van hun gegevens. Een PIA is daarom noodzakelijk.
  • Geautomatiseerde beslissingen: Het gaat hier om beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Een dergelijke gegevensverwerking kan ervoor zorgen dat personen worden gediscrimineerd of uitgesloten. Gegevensverwerkingen met weinig of geen gevolgen voor personen vallen hier niet onder.
  • Stelselmatige en grootschalige monitoring: Hier gaat het om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht
  • Grootschalige gegevensverwerking: Een PIA is verplicht op het moment dat u aan grootschalige gegevensverwerkingen doet waarbij u individuen volgt of bijzondere persoonsgegevens van individuen verwerkt. Daarnaast moet de grootschalige gegevensverwerking uw kerntaak zijn. Om te bepalen of u op grootschalige wijze gegevens verwerkt kunt u de volgende criteria aanhouden: de hoeveelheid mensen van wie gegevens worden verwerkt, de hoeveelheid gegevens die worden verwerkt, de tijdsduur en geografische reikwijdte van de gegevensverwerking.
  • Gekoppelde databases: Dit is van toepassing als een database voortkomt uit meerdere gegevensverwerkingen met verschillende doeleinden en/of uitgevoerd door verschillende verantwoordelijken, op zo’n manier dat betrokkenen dit redelijkerwijs niet kunnen verwachten.
  • Gebruik van nieuwe technologieën: Het gebruik van nieuwe technologieën kan een relatie hebben met nieuwe manieren om gegevens te verwerken en gebruiken. Om die reden is ook in deze situatie een PIA verplicht.
  • Blokkering van een recht, dienst of contract: Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen: een recht niet kunnen uitoefenen, een dienst niet kunnen gebruiken of een contract niet kunnen afsluiten

Als uw gegevensverwerking aan twee of meer van de volgende criteria voldoet, is het uitvoeren van een PIA verplicht.

Wanneer voert u een PIA uit?

U voert een Privacy Impact Assessment bij voorkeur zo vroeg mogelijk uit, bijvoorbeeld in de ontwerpfase van uw gegevensverwerking. Een PIA is niet een eenmalig project, maar een terugkerend en continu proces. Bij de eerste uitvoering van een PIA brengt u de privacyrisico’s van de gegevensverwerking in kaart. Op basis daarvan kunt u, waar nodig, extra beveiligingsmaatregelen treffen. Daarna voert u cyclisch de PIA uit om te controleren of uw gegevensverwerking nog steeds voldoet aan geldende wet- en regelgeving en beveiligingsmaatregelen. Op die manier verzekert u zichzelf continu van een veilige gegevensverwerking.

Factsheet Privacy Impact Assessment ZorgTTP
Wij voeren regelmatig een PIA uit. Door onze specialistische technische en juridische kennis komen wij tot de kern van uw gegevensverwerking. Samen bepalen we de reikwijdte van het onderzoek. Vervolgens brengen wij de privacyrisico’s voor de betreffende gegevensverwerking in kaart.

Welke PIA past het beste bij u?

Wij verzorgen drie PIA’s: de PIA Quickscan, de PIA Review en een volledige PIA.

Vraag offerte aan

Interesse in

1 + 1 =