Wanneer is een PIA verplicht?

In deze serie blogs geven wij aan wat de tien belangrijkste veranderingen zijn die de nieuwe Europese privacywet, de "Algemene Verordening Gegevensbescherming (AVG)" met zich meebrengt.

In dit blog: wanneer zijn Privacy Impact Assessments (PIA's) verplicht (nummer 6)?

Privacy Impact Assessments (PIA) onder de AVG

Wat is een “PIA” eigenlijk?

Een PIA is een onderzoek waarbij wordt gekeken welke “stromen” persoonsgegevens er allemaal zijn, wat de daaraan verbonden risico´s zijn, hoe die risico´s kunnen worden gemitigeerd en welke maatregelen moeten worden genomen in verband met het verwerken van die persoonsgegevens. 

In de nieuwe privacywet (de AVG) worden PIA's "gegevensbeschermingeffectbeoordelingen" genoemd.  

Wanneer is het uitvoeren van een PIA verplicht?

Het uitvoeren van een PIA is verplicht bij verwerkingen die, gezien de aard, de omvang, de context en de doeleinden daarvan, een hoog risico met zich meebrengen.
 

Wanneer moet het in ieder geval? 

Een PIA moet in ieder geval worden uitgevoerd als:

- het gaat om grootschalig en systematische evaluatie van persoonlijke kenmerken op basis van geautomatiseerde verwerking van de gegevens, waaronder “uitsluitend geautomatiseerde individuele beslissingen”, die rechtsgevolgen hebben of die een andere aanzienlijke impact op de betrokken persoon, en profiling of profilering;

Bijvoorbeeld: een online advertentiebedrijf houdt voor meer dan 50 verschillende klanten profielgegevens van internetgebruikers bij aan de hand van tracking cookies. Dit is een grootschalige en systematisch evaluatie van persoonlijke kenmerken.   

- het gaat om het verwerken van bijzondere persoonsgegevens op grote schaal;

Bijvoorbeeld: een ziekenhuis verwerkt gegevens van patiënten op grote schaal, maar een huisartsenpraktijk niet. Een kerk verwerkt gegevens over het geloof op kleine schaal, maar een landelijke organisatie die gegevens van meerdere kerkgangers verwerkt, doet dat op grote schaal.   

- het gaat om systematisch monitoren van een publiek toegankelijke ruimte op grote schaal.

Bijvoorbeeld: een gemeente die camerabewaking inzet op meerdere plekken in de gemeente, monitort systematisch publiek toegankelijke ruimten op grote schaal.

Wanneer moet het nog meer?

Wanneer het nog meer nodig is omdat er een risico bestaat, hangt af van verschillende omstandigheden.  

De volgende omstandigheden zijn aanwijzingen voor het moeten uitvoeren van een PIA:

- als er een nieuwe technologie wordt gebruikt;

- als er sprake is bijzondere persoonsgegevens;

- als er sprake is van “gevoelige persoonsgegevens” (dit zijn persoonsgegevens die een indringend beeld kunnen geven van de betrokken persoon, zoals financiële gegevens, personeelsdossiers, gegevens over uitkeringsrechten, locatiegegevens);

- als er sprake is van “uitsluitend geautomatiseerde individuele beslissingen”, waaronder profiling, die rechtsgevolgen hebben of die een andere aanzienlijke impact op de betrokken persoon;

- als het gaat om persoonsgegevens van een kwetsbare groep personen, zoals kinderen of uitkeringsgerechtigden;

- als het gaat om systematische monitoring van de betrokken personen;

- grootschalige verwerkingen;

- het koppelen van bestanden;

- doorgifte naar buiten de EER.

Als er sprake is van twee of meer van de hiervoor genoemde omstandigheden, kunt u er het beste van uitgaan dat er een hoog risico is, en dus een PIA nodig.

Als er maar sprake is van één van de omstandigheden hoeft dat niet per sé, u zult dan moeten beoordelen of er niet toch sprake is van een hoog risico. Dat zal bijvoorbeeld bij bijzondere persoonsgegevens al snel het geval zijn omdat die in een hoge risicoklasse vallen.
 

Lijst van de Autoriteit Persoonsgegevens

Daarnaast kan de Autoriteit Persoonsgegevens een lijst publiceren met situaties waarin een PIA verplicht is. Op het moment van het schrijven van dit Factsheet is deze lijst nog niet bekend.
 

Hoe zit het met bestaande “verwerkingen”?

Moet uw organisatie straks een PIA uitvoeren voor de bestaande “verwerkingen”? Bijvoorbeeld voor de bestaande ziekenhuissystemen met patiëntgegevens? 

Nee. Als uitgangspunt is het uitvoeren van een PIA na 25 mei 2018 alleen verplicht voor nieuwe verwerkingen. Bijvoorbeeld als er een nieuw soort applicatie in gebruik wordt genomen.

Maar, voor bestaande “verwerkingen” is weer wél een PIA nodig als daar wezenlijk iets aan verandert. Bijvoorbeeld omdat het plan is om bepaalde persoonsgegevens te gaan analyseren of aan derde partijen door te verkopen, terwijl ze niet daarvoor zijn verzameld, of omdat de server waarop de persoonsgegevens staan gaat wordt verplaatst naar een ander land. 

Hoe moet een PIA er uit zien? 

De AVG stelt geen specifieke eisen aan de inhoud van een PIA, dit wordt aan de markt overgelaten. 

Wél staat in de AVG dat daarin minimaal het volgende moet worden meegenomen: 

-  Een beschrijving van de verwerking en de doeleinden daarvan en, als dat van toepassing is, de “gerechtvaardigde belangen” om de persoonsgegevens te verwerken (dit is één van de grondslagen voor het kunnen verwerken van de persoonsgegevens);

- Een beoordeling van de noodzaak en de evenredigheid van het verwerken van de persoonsgegevens in verhouding tot de doeleinden daarvan;

- De beoogde maatregelen om de risico’s aan te pakken, zoals waarborgen, veiligheidsmaatregelen en mechanismen om te zorgen dat de persoonsgegevens worden beschermd en om aan te tonen dat aan de verplichtingen van de AVG wordt voldaan, met inachtneming van de rechten en belangen van de betrokken personen en eventuele andere personen. 

Hoe vaak moet de PIA worden herhaald?

De algemene regel is dat de PIA eens in de drie jaar moet worden herhaald.  

Maar, hier geldt ook dat als er een belangrijke wijziging is in de verwerking, bijvoorbeeld omdat het de bedoeling is om de persoonsgegevens voor andere doeleinden te verwerken, opnieuw een PIA moet worden uitgevoerd.

Let op: als uit de PIA blijkt dat het verwerken van de persoonsgegevens een verhoogd risico met zich meebrengt en uw organisatie dat risico niet adresseert of niet kan adresseren, dan moet de Autoriteit Persoonsgegevens worden gevraagd om een zogenaamd “voorafgaand onderzoek”.
 

Actiepunten:
1. Zorgen dat bij nieuwe projecten waarbij persoonsgegevens worden verwerkt, de vraag of een PIA nodig is, mee wordt genomen.
2. Waar nodig, PIA's uitvoeren en regelmatig herhalen.

U kunt deze informatie ook downloaden als Factsheet. 

In deze serie blogs:

1. Bewerkersovereenkomsten uitbreiden
2. Nieuwe regels over gegevens van kinderen
3. Datamap aanleggen
4. Toestemmingseisen worden strenger
5. Regels over profilering
6. Soms is een Privacy Impact Assessment (PIA) verplicht
7. Soms is een Functionaris Gegevensbescherming (FG) verplicht
8. Het recht op "dataportabiliteit"
9. Waar mogelijk "privacy by design" en "privacy by default" toepassen
10. Privacyverklaring moet uitgebreider