Inleiding

Vanaf 25 mei 2018 moeten alle organisaties die persoonsgegevens verwerken voldoen aan de Algemene Verordening Gegevensbescherming (AVG / GDPR (EN)). Deze verordening brengt een aantal grote veranderingen met zich mee ten opzicht van de oude Nederlandse Wetgeving. De AVG schrijft voor dat in sommige gevallen het verplicht is om een Privacy Impact Assessment (PIA) uit te voeren.

Privacy Impact Assessment (PIA)

In de Nederlandse vertaling van de AVG wordt gesproken over een “Gegevensbeschermingseffectbeoordeling”. Dit is een onderzoek naar en beoordeling van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Hierbij wordt gekeken naar de verwerking van de persoonsgegevens en welke risico’s dit met zich mee brengt. Aan de hand daarvan kan gekeken worden welke maatregelen getroffen moeten worden om de persoonsgegevens zo goed mogelijk te beschermen.

Aan de hand van het eerste schema vind je antwoord op de vraag of het voor jouw organisatie verplicht is een PIA uit te voeren. Op hoe meer vragen het antwoord ‘Ja’ is, hoe groter het belang is dat een PIA wordt uitgevoerd. LET OP: de Autoriteit Persoonsgegevens (AP) kan nog met extra situaties komen waarin je als organisatie verplicht bent een PIA uit te voeren.

Volgt uit dit schema dat jouw organisatie verplicht is een PIA uit te voeren, dan moet de PIA voldoen aan een aantal vereisten die in de AVG zijn opgenomen. Door het tweede schema te volgen, kun je nalopen of de PIA aan de AVG voldoet. De genoemde eisen zijn de minimale vereisten waar een PIA aan moet voldoen. Onderaan deze pagina zijn enkele definities opgenomen die jou kunnen helpen bij het invullen van de schema’s.

Het volstaat niet om slechts een keer een PIA uit te voeren. Op het moment dat er bijvoorbeeld nieuwe doeleinden zijn of nieuwe technologieën worden gebruikt moet een PIA opnieuw worden uitgevoerd. Daarnaast is het verstandig om minstens eens per 3 jaar een PIA uit te voeren.

Meer informatie?

Raadpleeg dan onze website. Heb je een vraag? Dan kun je altijd contact met ons opnemen via: info@juridischehulponline.nl. Behoefte aan meer factsheets of een document dat je helpt bij het AVG proof worden? Zie dan onze site.

Schema 1


Schema 2

Definities

Bijzondere persoonsgegevens: persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en persoonsgegevens waaruit genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, dan wel strafrechtelijke gegevens blijken.

Grote schaal: Het is afhankelijk van de volgende omstandigheden of sprake is van verwerking op grote schaal:

  • het aantal betrokkenen - in specifieke cijfers of als percentage van de totale bevolking;
  • de hoeveelheid gegevens en/of de hoeveelheid verschillende gegevens die worden verwerkt;
  • de duur of permanentie van de gegevensverwerking;
  • de geografische reikwijdte van de verwerking.

Hoog risico: De overheid geeft criteria waarmee beoordeeld kan worden of sprake is van een hoog risico. Van een hoog risico is onder andere sprake in onderstaande gevallen: 

  • verwerking waarbij sprake is van het koppelen en combineren van persoonsgegevens;
  • verwerking waarbij sprake is van het evalueren en beoordelen van betrokkenen;
  • verwerking van bijzondere, strafrechtelijke of anderszins gevoelige persoonsgegevens.

Deze pagina downloaden? Klik dan hier

 Aan de tekst in dit document kunnen geen rechten worden ontleend. Dit document dient slecht een informatief doel en gaat slechts over de AVG. De overige verordeningen en uitvoeringswetten zijn niet in dit document opgenomen. Vastgesteld op 21-02-2018.