Effectbeoordeling
Leer wat een Effectbeoordeling is.
Wat is een PIA?
Gegevensbeschermingseffectbeoordeling is een nalevingsmechanisme waarin wordt voorzien door Artikel 35 van de AVG.
Het heeft als doel om naleving van de AVG te waarborgen en het bewijs hiervan te leveren!
De analyse bestaat uit het vaststellen en minimaliseren van de risico's van inbreuk op de rechten en vrijheden van betrokkenen bij een verwerking van persoonsgegevens.
Het is primair een onderzoek naar de risico's voor individuen en niet voor de organisatie!
PIA = Privacy Impact Assessment
De PIA is een driedelig document:
Een gedetailleerde beschrijving van de [Verwerking] die wordt uitgevoerd, inclusief zowel technische als operationele aspecten;
de beoordeling, van meer juridische aard, van de noodzaak en evenredigheid met betrekking tot de niet-onderhandelbare fundamentele beginselen en rechten (doel, gegevens en bewaartermijnen, informatie en rechten van personen, enz);
De studie, van meer technische aard, van de risico's voor gegevensbeveiliging (vertrouwelijkheid, integriteit en beschikbaarheid) en hun mogelijke impact op de privacy, die het mogelijk maakt om de technische en organisatorische maatregelen te bepalen die nodig zijn om de gegevens te beschermen.
Reikwijdte van de PIA
De PIA kan betrekking hebben op :
Eén enkele Verwerking
Vergelijkbare verwerkingen
Identieke Verwerkingen uitgevoerd door meerdere Verwerkingsverantwoordelijken
Verwerkingen die door verschillende Verwerkingsverantwoordelijken worden gedeeld
Verwerkingen die vergelijkbaar zijn wat betreft doeleinden, functionaliteiten, risico's, technologieën, enz.
Een technologisch product (hardware of software)**.
Er moet een Effectbeoordeling worden uitgevoerd als de Verwerking een hoog risico inhoudt voor de Rechten en Vrijheden van betrokkenen
Rechten en vrijheden omvatten niet alleen het recht op privacy, maar ook andere grondrechten zoals bewegingsvrijheid, non-discriminatie, het recht op leven, enz.
Verwerkingen met een hoog risico kunnen worden geïdentificeerd als ze aan ten minste 2 van de volgende criteria voldoen (bron: EDPD):
Beoordeling/notering (scoren)
Automatisch besluit met wettelijk of soortgelijk effect
Systematisch toezicht
Gevoelige gegevens
Grootschalig
Kruisverwijzingen van gegevens
Kwetsbare personen
Innovatief gebruik
Afscherming van een recht/contract
Doorgifte buiten de EU
Wanneer moet ik een PIA uitvoeren?
Voordat de Verwerking wordt uitgevoerd
Principe van ingebouwde privacy
Als besluitvormingshulpmiddel voor het implementeren van de verwerking
Hiermee kunt u anticiperen op nalevingskosten
Moet worden uitgevoerd voor bestaande Verwerkingen
De PIA is een continu proces:
PIA's moeten regelmatig worden herzien
De beste werkwijze is om de PIA elke 3 tot 5 jaar bij te werken.
In alle gevallen, zodra er een wijziging optreedt in de verwerking
Hoe maak je een PIA?
Door eerst de maatregelen van noodzakelijkheid en evenredigheid te beoordelen. Dit is een grondig onderzoek van de Verwerking vanuit elke hoek!
Je moet vragen stellen en je keuzes uitleggen over de volgende aspecten van de Verwerking:
Doeleinden" (https://www.dastra.eu/fr/article/finalit%C3%A9-traitement-de-donn%C3%A9es/358): specifiek, expliciet en legitiem.
Grondslag: rechtmatigheid van de Verwerking, verbod op "purpose creep
Gegevensminimalisatie: adequaat, relevant en beperkt
Kwaliteit van de gegevens: nauwkeurig en actueel
Bewaartermijnen: beperkt
Beschrijf vervolgens de maatregelen om de rechten van personen te beschermen:
Informatie voor betrokkenen
verkrijgen van toestemming, indien van toepassing
uitoefening van het recht op toegang en portabiliteit
uitoefening van het recht op rectificatie en uitwissing
uitoefening van het recht op beperking van de Verwerking en het recht om bezwaar te maken tegen de Verwerking
relaties met subcontractanten
garanties rond internationale doorgiften
Sectorspecifieke richtlijnen, gedragscodes, labels en merken moeten worden geraadpleegd.
En tot slot analyse van de risico's voor de betrokken personen: mogelijke inbreuken op de privacy
Voor elke gevreesde gebeurtenis (onrechtmatige toegang tot gegevens, ongewenste wijziging van gegevens en verdwijning van gegevens):
de mogelijke gevolgen voor de privacy van de betrokkenen bepalen, mochten ze zich voordoen
de ernstigheid ervan in te schatten, met name wat betreft de schadelijke aard van de potentiële gevolgen en, in voorkomend geval, de maatregelen die deze gevolgen kunnen wijzigen;
de bedreigingen voor gegevensdragers identificeren die tot deze gevreesde gebeurtenis zouden kunnen leiden en de risicobronnen die deze gebeurtenis zouden kunnen veroorzaken;
de waarschijnlijkheid ervan in te schatten, met name in termen van de kwetsbaarheden van de gegevensdragers, het vermogen van de risicobronnen om deze te exploiteren en de maatregelen die deze waarschijnlijk zullen wijzigen.
Bepaal of de initiële risico's als aanvaardbaar kunnen worden beschouwd gezien de bestaande of geplande maatregelen.
Zo niet, stel dan aanvullende maatregelen voor en beoordeel het risiconiveau opnieuw, rekening houdend met deze maatregelen, om het resterende risico te bepalen.
Wie is erbij betrokken?
De** Verwerkingsverantwoordelijke (RT)
De teams van de CPO, inclusief de teams van de betreffende business line (projecteigenaar, projectmanager), compliance officers, juridische teams, enz.
De Data Controller kan delegeren aan externe consultants, maar dit blijft zijn verantwoordelijkheid.
De functionaris voor gegevensbescherming
Advies en verificatie van de implementatie, beoordeling van maatregelen en restrisico's, stelt PIA's voor.
De betrokkenen (of hun vertegenwoordigers), indien van toepassing** * Hun mening kan worden gevraagd en gedocumenteerd door de functionaris voor gegevensbescherming.
Hun mening kan worden gevraagd en gedocumenteerd
De** subcontractanten
Assistentie en informatieverstrekking
De CISO of IT-afdeling** * Voorstel voor het uitvoeren van een DPIA
Voorstel tot het uitvoeren van een DPIA, assistentie
Om verder te gaan
Last updated