De AVG: Wat is een PIA en moet u daar iets mee?

Een PIA is een onderzoek naar de gevolgen van een bepaalde verwerking of verwerkingen van persoonsgegevens op de privacy.

Het is een instrument dat bedoeld is om, voorafgaand aan het uitvoeren van bepaalde verwerkingen, op een systematische wijze in kaart te brengen wat u eigenlijk doet, wie  waar toegang toe heeft en welke risico’s die verwerkingen met zich meebrengen. Op basis van de uitkomsten van een PIA kunnen vervolgens maatregelen genomen worden om die risico’s te beperken. Het is dan ook verstandig om een PIA in een vroegtijdig stadium in een project uit te voeren. Dit kan voorkomen dat er achteraf van alles ‘gerepareerd’ moet worden.

Een PIA is verplicht als er sprake is van hoog risicodragende verwerkingen. Dit kan bijvoorbeeld het geval zijn als het gaat om een groot aantal betrokkenen. Maar ook als er veel persoonsgegevens per betrokkene worden verwerkt of als het gaat om bijzondere of gevoelige persoonsgegevens zoals medische of financiële gegevens. Ook het doel kan een verwerking hoog-risicodragend maken.

De AVG noemt een aantal verwerkingen waarvoor in ieder geval een PIA verplicht is:

• Geautomatiseerde systematische evaluatie van persoonlijke aspecten, zoals profilering, op basis waarvan besluiten worden genomen met gevolgen voor het individu;
• Grootschalige verwerking van strafrechtelijke of bijzondere persoonsgegevens;
• Grootschalig en stelselmatig volgen van mensen in publieke ruimtes (bijvoorbeeld cameratoezicht).

Dit is echter geen uitputtende lijst. De recent gepubliceerde Handleiding AVG van het Ministerie van Justitie en Veiligheid geeft een lijst van 9 criteria, waaronder matching of samenvoeging van databases en het verwerken van gegevens van kwetsbare betrokkenen. Als een verwerking aan twee of meer van die criteria voldoet is er sprake van een hoog risico en is een PIA verplicht.

Een PIA is overigens niet alleen relevant voor nieuwe verwerkingen met een hoog risico. Het uitvoeren van een PIA op uw belangrijkste of omvangrijkste bestaande verwerkingen is ook een manier om te beoordelen of uw huidige processen voldoen aan de eisen van de AVG.

De PIA moet een systematische beschrijving geven van de (beoogde) verwerking en het doel daarvan.

Als de grondslag voor de verwerking een gerechtvaardigd belang van de Verwerkingsverantwoordelijke is, moet ook dat belang uiteengezet worden.

De noodzaak van de verwerking moet  weergegeven worden. Verder moet gemotiveerd worden waarom er geen minder vergaand middel mogelijk is (de evenredigheid van de verwerking).

Er moet beoordeeld worden welke risico’s er zijn voor de bescherming van de persoonsgegevens van de betrokkenen en hun rechten en vrijheden.

Tot slot moet bepaald worden of en hoe die risico’s ingeperkt kunnen worden.

Als de conclusie is dat de risico’s niet met redelijke maatregelen beperkt kunnen worden moet de voorgenomen verwerking ter beoordeling aan de Autoriteit Persoonsgegevens worden voorgelegd.

U kunt een PIA laten uitvoeren door een externe partij, maar ook door uw eigen werknemer(s). Voorwaarde is natuurlijk dat uw werknemers dan wel voldoende kennis hebben van zowel de processen, de technieken als de mogelijke risico’s.

Deze personen zullen informatie uit de organisatie moeten verzamelen om een goed beeld te krijgen van onder meer de aard van het project, de verschillende belanghebbenden en betrokkenen, wat voor soort persoonsgegevens verzameld gaan worden en van wie, waarvoor die gebruikt gaan worden, met wie die gedeeld (kunnen) gaan worden, of de gegevens verder verwerkt worden, door wie en waarvoor, de bedrijfsprocessen en de beveiliging.

Vervolgens zal moeten worden beoordeeld hoe het gesteld is met (onder meer):

• doelbinding; de gegevens mogen alleen worden gebruikt voor het beoogde en gecommuniceerde doel van de verwerking;
• dataminimalisatie; er mag niet meer verzameld worden dan strikt noodzakelijk is;
• grip op de kwaliteit van de persoonsgegevens;
• beveiliging, zowel technisch als organisatorisch, door de hele linie heen;
• informatievoorziening aan betrokkenen;
• de mogelijkheden voor betrokkenen om hun rechten uit te oefenen;
• accountability; op alle fronten moet worden aangetoond dat u voldoet aan de AVG.

Op basis van de inventarisatie gaat/laat u de impact van de verwerkingen op de privacy van de betrokkenen inschatten. Er is bijvoorbeeld sprake van een hoger risico als het gaat om persoonsgegevens die kunnen leiden tot identiteitsfraude.

Deze risico’s moeten vervolgens middels te nemen technische of organisatorische maatregelen tot een ‘acceptabel’ niveau worden teruggebracht waarbij doel, noodzaak en mate en omvang van een inbreuk met elkaar in verhouding moeten staan. Denk bijvoorbeeld aan het pseudonimiseren of anonimiseren c.q. encrypten als dat mogelijk is, functiescheiding, autorisaties, een duidelijk privacybeleid, regelmatige controle op naleving etc.

Een PIA is geen eenmalige zaak. Het is de bedoeling dat de resultaten van een uitgevoerde PIA regelmatig, bijvoorbeeld jaarlijks geëvalueerd worden. Situaties veranderen immers. Er is zeker reden voor een evaluatie als er bijvoorbeeld nieuwe of andere technologieën ingezet gaan worden.

De FG is niet verantwoordelijk voor het uitvoeren van PIA’s. Hij heeft wel een adviserende en toezichthoudende rol en moet dus ook tijdig betrokken worden bij het PIA-proces.

• Met 10 tips klaar voor Algemene Verordening Gegevensbescherming
• Maak uw organisatie AVG-proof: begin met een grondige inventarisatie
• Een datalek, wat moet ik ermee?
• Moet ik een Functionaris voor Gegevensbescherming aanstellen op grond van de AVG?
• Register voor verwerkingsactiviteiten onder de nieuwe AVG
• De AVG: Verwerkingsverantwoordelijke, Verwerker en Verwerkingsovereenkomst
• De nieuwe privacyverklaring
• De AVG: Is uw beveiliging van persoonsgegevens op orde?