Effectbeoordeling

Leer wat een Effectbeoordeling is.

Wat is een PIA?

Gegevensbeschermingseffectbeoordeling is een nalevingsmechanisme waarin wordt voorzien door Artikel 35 van de AVG.

Het heeft als doel om naleving van de AVG te waarborgen en het bewijs hiervan te leveren!

De analyse bestaat uit het vaststellen en minimaliseren van de risico's van inbreuk op de rechten en vrijheden van betrokkenen bij een verwerking van persoonsgegevens.

Het is primair een onderzoek naar de risico's voor individuen en niet voor de organisatie!

PIA = Privacy Impact Assessment

De PIA is een driedelig document:

  • Een gedetailleerde beschrijving van de [Verwerking] die wordt uitgevoerd, inclusief zowel technische als operationele aspecten;

  • de beoordeling, van meer juridische aard, van de noodzaak en evenredigheid met betrekking tot de niet-onderhandelbare fundamentele beginselen en rechten (doel, gegevens en bewaartermijnen, informatie en rechten van personen, enz);

  • De studie, van meer technische aard, van de risico's voor gegevensbeveiliging (vertrouwelijkheid, integriteit en beschikbaarheid) en hun mogelijke impact op de privacy, die het mogelijk maakt om de technische en organisatorische maatregelen te bepalen die nodig zijn om de gegevens te beschermen.

Reikwijdte van de PIA

De PIA kan betrekking hebben op :

  • Eén enkele Verwerking

  • Vergelijkbare verwerkingen

  • Identieke Verwerkingen uitgevoerd door meerdere Verwerkingsverantwoordelijken

  • Verwerkingen die door verschillende Verwerkingsverantwoordelijken worden gedeeld

  • Verwerkingen die vergelijkbaar zijn wat betreft doeleinden, functionaliteiten, risico's, technologieën, enz.

  • Een technologisch product (hardware of software)**.

Er moet een Effectbeoordeling worden uitgevoerd als de Verwerking een hoog risico inhoudt voor de Rechten en Vrijheden van betrokkenen

Rechten en vrijheden omvatten niet alleen het recht op privacy, maar ook andere grondrechten zoals bewegingsvrijheid, non-discriminatie, het recht op leven, enz.

Verwerkingen met een hoog risico kunnen worden geïdentificeerd als ze aan ten minste 2 van de volgende criteria voldoen (bron: EDPD):

  • Beoordeling/notering (scoren)

  • Automatisch besluit met wettelijk of soortgelijk effect

  • Systematisch toezicht

  • Gevoelige gegevens

  • Grootschalig

  • Kruisverwijzingen van gegevens

  • Kwetsbare personen

  • Innovatief gebruik

  • Afscherming van een recht/contract

  • Doorgifte buiten de EU

Wanneer moet ik een PIA uitvoeren?

  • Voordat de Verwerking wordt uitgevoerd

  • Principe van ingebouwde privacy

  • Als besluitvormingshulpmiddel voor het implementeren van de verwerking

  • Hiermee kunt u anticiperen op nalevingskosten

  • Moet worden uitgevoerd voor bestaande Verwerkingen

De PIA is een continu proces:

  • PIA's moeten regelmatig worden herzien

  • De beste werkwijze is om de PIA elke 3 tot 5 jaar bij te werken.

  • In alle gevallen, zodra er een wijziging optreedt in de verwerking

Hoe maak je een PIA?

Door eerst de maatregelen van noodzakelijkheid en evenredigheid te beoordelen. Dit is een grondig onderzoek van de Verwerking vanuit elke hoek!

Je moet vragen stellen en je keuzes uitleggen over de volgende aspecten van de Verwerking:

  • Doeleinden" (https://www.dastra.eu/fr/article/finalit%C3%A9-traitement-de-donn%C3%A9es/358): specifiek, expliciet en legitiem.

  • Grondslag: rechtmatigheid van de Verwerking, verbod op "purpose creep

  • Gegevensminimalisatie: adequaat, relevant en beperkt

  • Kwaliteit van de gegevens: nauwkeurig en actueel

Beschrijf vervolgens de maatregelen om de rechten van personen te beschermen:

  • Informatie voor betrokkenen

  • verkrijgen van toestemming, indien van toepassing

  • uitoefening van het recht op toegang en portabiliteit

  • uitoefening van het recht op rectificatie en uitwissing

  • uitoefening van het recht op beperking van de Verwerking en het recht om bezwaar te maken tegen de Verwerking

  • relaties met subcontractanten

Sectorspecifieke richtlijnen, gedragscodes, labels en merken moeten worden geraadpleegd.

En tot slot analyse van de risico's voor de betrokken personen: mogelijke inbreuken op de privacy

Voor elke gevreesde gebeurtenis (onrechtmatige toegang tot gegevens, ongewenste wijziging van gegevens en verdwijning van gegevens):

  • de mogelijke gevolgen voor de privacy van de betrokkenen bepalen, mochten ze zich voordoen

  • de ernstigheid ervan in te schatten, met name wat betreft de schadelijke aard van de potentiële gevolgen en, in voorkomend geval, de maatregelen die deze gevolgen kunnen wijzigen;

  • de bedreigingen voor gegevensdragers identificeren die tot deze gevreesde gebeurtenis zouden kunnen leiden en de risicobronnen die deze gebeurtenis zouden kunnen veroorzaken;

  • de waarschijnlijkheid ervan in te schatten, met name in termen van de kwetsbaarheden van de gegevensdragers, het vermogen van de risicobronnen om deze te exploiteren en de maatregelen die deze waarschijnlijk zullen wijzigen.

Bepaal of de initiële risico's als aanvaardbaar kunnen worden beschouwd gezien de bestaande of geplande maatregelen.

Zo niet, stel dan aanvullende maatregelen voor en beoordeel het risiconiveau opnieuw, rekening houdend met deze maatregelen, om het resterende risico te bepalen.

Wie is erbij betrokken?

  • De** Verwerkingsverantwoordelijke (RT)

    • De teams van de CPO, inclusief de teams van de betreffende business line (projecteigenaar, projectmanager), compliance officers, juridische teams, enz.

    • De Data Controller kan delegeren aan externe consultants, maar dit blijft zijn verantwoordelijkheid.

  • De functionaris voor gegevensbescherming

    • Advies en verificatie van de implementatie, beoordeling van maatregelen en restrisico's, stelt PIA's voor.

  • De betrokkenen (of hun vertegenwoordigers), indien van toepassing** * Hun mening kan worden gevraagd en gedocumenteerd door de functionaris voor gegevensbescherming.

    • Hun mening kan worden gevraagd en gedocumenteerd

  • De** subcontractanten

    • Assistentie en informatieverstrekking

  • De CISO of IT-afdeling** * Voorstel voor het uitvoeren van een DPIA

    • Voorstel tot het uitvoeren van een DPIA, assistentie

Om verder te gaan

Webinar "Hoe benader je de PIA-fase met een tool?"

Last updated