De PIA
is dat een Privacy Impact Assessment verplicht is zodra uw gegevensverwerking een hoog privacyrisico oplevert voor betrokkenen.
Wanneer heeft mijn gegevensverwerking een hoog privacyrisico?
U bent verplicht een Privacy Impact Assessment uit te voeren op het moment dat de gegevensverwerking een hoog privacyrisico oplevert voor de betrokkenen. Dit is in ieder geval zo wanneer een organisatie systematisch en uitvoerig persoonlijke aspecten evalueert (profiling), op grote schaal bijzondere persoonsgegevens verwerkt of systematisch en op grote schaal mensen volgt in een publiek toegankelijk gebied (cameratoezicht).
De Werkgroep van Europese Toezichthouders (WP29) heeft criteria opgesteld om te toetsen of een PIA noodzakelijk is. Beoordeel zelf wat voor u van toepassings is:
- Gevoelige gegevens: Bijzondere categorieën van persoonsgegevens (art. 9 AVG). Het betreft hier informatie over ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, een lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op unieke identificatie van een persoon of gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid. Tot slot gaat het ook over gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.
- Beoordelen van mensen op basis van persoonskenmerken: Het gaat hier om profiling en het maken van prognoses op basis van iemand zijn of haar beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen.
- Gegevens over kwetsbare personen: Hier gaat het bijvoorbeeld om werknemers, kinderen of patiënten waar een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke is. In situaties met een niet-gelijke machtsverhouding is het mogelijk dat betrokkenen niet in vrijheid toestemming kunnen geven of weigeren voor de verwerking van hun gegevens. Een PIA is daarom noodzakelijk.
- Geautomatiseerde beslissingen: Het gaat hier om beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Een dergelijke gegevensverwerking kan ervoor zorgen dat personen worden gediscrimineerd of uitgesloten. Gegevensverwerkingen met weinig of geen gevolgen voor personen vallen hier niet onder.
- Stelselmatige en grootschalige monitoring: Hier gaat het om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht
- Grootschalige gegevensverwerking: Een PIA is verplicht op het moment dat u aan grootschalige gegevensverwerkingen doet waarbij u individuen volgt of bijzondere persoonsgegevens van individuen verwerkt. Daarnaast moet de grootschalige gegevensverwerking uw kerntaak zijn. Om te bepalen of u op grootschalige wijze gegevens verwerkt kunt u de volgende criteria aanhouden: de hoeveelheid mensen van wie gegevens worden verwerkt, de hoeveelheid gegevens die worden verwerkt, de tijdsduur en geografische reikwijdte van de gegevensverwerking.
- Gekoppelde databases: Dit is van toepassing als een database voortkomt uit meerdere gegevensverwerkingen met verschillende doeleinden en/of uitgevoerd door verschillende verantwoordelijken, op zo’n manier dat betrokkenen dit redelijkerwijs niet kunnen verwachten.
- Gebruik van nieuwe technologieën: Het gebruik van nieuwe technologieën kan een relatie hebben met nieuwe manieren om gegevens te verwerken en gebruiken. Om die reden is ook in deze situatie een PIA verplicht.
- Blokkering van een recht, dienst of contract: Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen: een recht niet kunnen uitoefenen, een dienst niet kunnen gebruiken of een contract niet kunnen afsluiten
Als uw gegevensverwerking aan twee of meer van de volgende criteria voldoet, is het uitvoeren van een PIA verplicht.
Wanneer voert u een PIA uit?
U voert een Privacy Impact Assessment bij voorkeur zo vroeg mogelijk uit, bijvoorbeeld in de ontwerpfase van uw gegevensverwerking. Een PIA is niet een eenmalig project, maar een terugkerend en continu proces. Bij de eerste uitvoering van een PIA brengt u de privacyrisico’s van de gegevensverwerking in kaart. Op basis daarvan kunt u, waar nodig, extra beveiligingsmaatregelen treffen. Daarna voert u cyclisch de PIA uit om te controleren of uw gegevensverwerking nog steeds voldoet aan geldende wet- en regelgeving en beveiligingsmaatregelen. Op die manier verzekert u zichzelf continu van een veilige gegevensverwerking.
Factsheet Privacy Impact Assessment ZorgTTP
Wij voeren regelmatig een PIA uit. Door onze specialistische technische en juridische kennis komen wij tot de kern van uw gegevensverwerking. Samen bepalen we de reikwijdte van het onderzoek. Vervolgens brengen wij de privacyrisico’s voor de betreffende gegevensverwerking in kaart.
Welke PIA past het beste bij u?
Wij verzorgen drie PIA’s: de PIA Quickscan, de PIA Review en een volledige PIA.
Vraag offerte aan
Informatie Privacy- en Verzendmodule (PVM) voor DIS
Op 6 december 2021 is een nieuwe versie van de Privacy- en Verzendmodule (PVM) beschikbaar gekomen voor het DBC Informatiesysteem (DIS) van de Nederlandse Zorgautoriteit, te weten de PVM 8.1.1 voor Windows, Mac en Linux. Als zorgaanbieder of softwareleverancier kunt u...
ZorgTTP sluit aan als partner van de Samenwerkende Data Verwerkers
ZorgTTP heeft zich als partner aangesloten bij de Samenwerkende Data Verwerkers. Gezamenlijk met de SDV willen we werken aan het opzetten van een uniforme pseudonimisatieservice voor de zorg. Het doel is om direct herleidbare persoonsgegevens zo veel mogelijk uit...
CMT versie 8.4 in gebruik genomen
Deze versie van de Centrale Module TTP (CMT) biedt een nieuwe service in combinatie met vernieuwde PVM en DRM software; de Online TTP Informatie Service (OTIS). ZorgTTP is dit jaar tweemaal genoodzaakt om een grootschalige vervangingsactie uit te voeren van digitale...