Een van de nieuwe aspecten van de Algemene Verordening Gegevensbescherming is het Privacy Impact Assessment (de PIA). Dit is een beoordeling die mogelijk door uw organisatie uitgevoerd moet worden. Met een PIA onderzoekt u de knelpunten van uw systeem ten aanzien van het verwerken van persoonsgegevens.
De noodzaak van een Privacy Impact Assessment vindt haar grondslag in art. 35 AVG. In dit wetsartikel is opgenomen wanneer u verplicht bent om een dergelijke analyse uit te voeren. Grofweg bent u -als verwerkingsverantwoordelijke- verplicht tot het uitvoeren een PIA indien de verwerking .een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen..
Deze omstandigheden doen zich voor bij verwerkingen van persoonlijke aspecten van natuurlijke personen op een geautomatiseerde wijze, grootschalige verwerkingen van bijzondere gegevens van personen en bij stelselmatige en grootschalige monitoring van openbare toegankelijke ruimten (art 35(3) AVG). The Working Party van de Europese toezichthouders hebben hiernaast nog lijst (WP29) geformuleerd van situaties die ook onder .een hoog risico. vallen. Deze lijst is te vinden op de website van de Autoriteit Persoonsgegevens. Op deze website is eveneens te lezen dat de Autoriteit Persoonsgegevens op den duur met een lijst komt, waarin staat vermeld bij welke verwerkingen van persoonsgegevens een PIA verplicht is.
Indien u een privacy gevoelig(e) dienst of product aanbiedt, raden wij hoe dan ook aan om een PIA uit te voeren. Let wel op, voor veel organisaties wordt het namelijk verplicht om een PIA uit te voeren na mei 2018. Dit geldt ook voor u als u besluit om van software te veranderen of bij de beginfase van uw organisatie. Immers kunnen deze omstandigheden leiden tot nieuwe risico.s voor de verwerkingen. Eveneens is het gewenst om iedere drie jaar een PIA te verrichten. AVG Juristen kan u hierbij helpen. Wij analyseren op welke wijze u persoonsgegevens verwerkt en adviseren u vervolgens of u over moet gaan tot het uitvoeren van een PIA. Indien een PIA vereist is, koppelen we dit aan u terug en voeren, indien gewenst, een PIA uit. Hierin brengen wij in kaart:
Na deze analyse heeft u een goed overzicht op welke wijze uw organisatie omgaat met persoonsgegevens. Op basis van deze PIA brengen wij een advies uit over wat u eventueel behoort te veranderen aan uw systeem. De analyses die wij uitvoeren zijn gebaseerd op de regelgeving van de AVG. Te denken valt aan wat u mogelijk kunt doen op het gebied van dataminimalisatie. U hoort immers enkel persoonsgegevens te verwerken die noodzakelijk zijn voor het het uitvoeren van de werkzaamheden van uw organisatie.
Met onze expertise over privacy, op zowel juridisch gebied als ICT, kunnen wij uw werkwijze binnen een korte periode conform de regelgeving van de AVG brengen. Op deze manier is uw organisatie niet alleen bewust van de noodzaak van de privacyregelgeving, u draagt bij aan de huidige tendens waarin organisaties benadrukken dat zij een PIA uitgevoerd hebben. Deze worden vaak ter inzage verstrekt zodat potentiƫ klanten zien dat de organisaties een transparant privacybeleid voeren.