Wat is een PIA? Een PIA ofwel Privacy Impact Assessment is een onderzoek naar de privacy aspecten van een nieuwe verwerking, met een potentieel hoog risico. In dit assessment onderzoek je of je de risico's voor betrokkenen op het gebied van persoonsgegevens voldoende kunt borgen.
Privacy Impact Assessment (PIA) beschrijft een proces dat wordt gebruikt om de verzameling van persoonlijke gegevens in informatiesystemen te evalueren. Het doel van een PIA is om te bepalen of verzamelde persoonlijke informatiegegevens noodzakelijk en relevant zijn.
De DPIA wordt ook wel Privacy Impact Assessment (PIA) genoemd. Na de uitvoering van een DPIA kunnen bijvoorbeeld aanvullende beveiligingsmaatregelen genomen worden.
Een DPIA is een onderzoek dat duidelijk maakt of en waar grote privacyrisico's ontstaan als u persoonsgegevens gebruikt. Een data protection impact assessment laat ook zien waar u maatregelen moet nemen om de risico's te verkleinen of te voorkomen.
Wanneer sprake van hoog privacyrisico? Het gaat hierbij om bijzondere categorieën van persoonsgegevens, zoals gegevens over de gezondheid van mensen. De AVG geeft geen definitie van 'grootschalige gegevensverwerkingen'.
Wat is een PIA? Een PIA ofwel Privacy Impact Assessment is een onderzoek naar de privacy aspecten van een nieuwe verwerking, met een potentieel hoog risico. In dit assessment onderzoek je of je de risico's voor betrokkenen op het gebied van persoonsgegevens voldoende kunt borgen.
De waarschijnlijkheid dat personen problemen ondervinden als gevolg van de gegevensverwerking en de impact als deze zich voordoen .
In de Algemene verordening gegevensbescherming (AVG) staat als definitie voor persoonsgegevens: 'alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon'.
DPIA volgens de AVG
Systematisch en uitgebreid persoonlijke aspecten van mensen beoordeelt. Dit doet u op basis van geautomatiseerde verwerking van persoonsgegevens, waaronder profiling. En hierop baseert u besluiten die gevolgen hebben voor mensen.
Wanneer uit een gegevensbeschermingseffectbeoordeling krachtens artikel 35 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de toezichthoudende autoriteit.
AVG Privacy Impact Assessment
Het instrument voor een privacy impact assessment (PIA) of data protection impact assessment (DPIA) werd geïntroduceerd met de Algemene Verordening Gegevensbescherming (art. 35 AVG).
Volgens GDPR richtlijn is de definitie van persoonsgegevens alle informatie die betrekking heeft op een persoon, zoals namen, foto's, e-mailadressen, bankgegevens, posts op sociale netwerken, locatiegegevens, medische informatie en IP-adressen.
DPIA's worden ook wel PIA's (privacy impact assessments) genoemd. De GDPR (General Data Protection Regulation) en DPA (Data Protection Act) 2018 vereisen dat u een DPIA uitvoert vóór bepaalde soorten verwerking . Dit zorgt ervoor dat u gegevensbeschermingsrisico's kunt beperken.
Een PIA kan verschillende structuren hebben, afhankelijk van de jurisdictie of de behoeften van het bedrijf.Terwijl onder de AVG de inhoud van een DPIA duidelijk is gedefinieerd . Organisaties moeten ervoor zorgen dat ze het verschil tussen een PIA en een DPIA begrijpen en herkennen en dat de laatste alleen wordt gebruikt wanneer aan de relevante DPIA-triggers is voldaan.
De gemiddelde geïndexeerde maandelijkse inkomsten (AIME) moeten eerst worden berekend voordat de PIA kan worden bepaald. De overheid neemt drie percentages van de AIME, vastgesteld op 90%, 32% en 15%, om de PIA te berekenen .
Een privacy impact assessment (PIA) is een analyse van de manier waarop persoonlijk identificeerbare informatie (PII) wordt verwerkt om te zorgen voor naleving van de toepasselijke regelgeving, de privacyrisico's te bepalen die verband houden met informatiesystemen of -activiteiten en manieren te evalueren om de privacyrisico's te verminderen.
De functionaris gegevensbescherming (FG) is een relatief nieuwe functie in Nederland. Een FG houdt binnen een organisatie toezicht op de toepassing en naleving van de privacywetgeving. In Nederland zijn er nu ongeveer 10.000 FG's.
De Pre-scan DPIA helpt een organisatie om vroegtijdig privacy risico's in gegevensverwerkingsprojecten te identificeren. Dit is een checklist waarmee je op eenvoudige wijze vooraf vaststelt of het uitvoeren van een volledige Data Protection Impact Assessment (DPIA) noodzakelijk is.
De AP houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Andere belangrijke taken van de AP zijn onder meer adviseren over nieuwe wet- en regelgeving, voorlichting geven over de privacywetgeving en internationale taken.
De AVG kent zes grondslagen: toestemming, uitvoering van de overeenkomst, wettelijke verplichting, vitaal belang van betrokkene of andere personen, algemeen belang of gerechtvaardigd belang.
Voorbeelden van persoonlijk identificeerbare informatie (PII) PII kan bestaan uit uw volledige naam, e-mailadres, burgerservicenummer, telefoonnummer, rijbewijsnummer, IP-adres, paspoortnummer, huisadres, geolocatie en gevoelige gegevens zoals biometrische of medische gegevens.
Vooral over misbruik van hun identiteitsbewijs, het volgen van hun online zoekgedrag en wifitracking. Bij persoonsgegevens gaat het om informatie die ofwel direct over iemand gaat, ofwel indirect naar deze persoon te herleiden is. Bijvoorbeeld door meerdere persoonsgegevens met elkaar te combineren.
Dataprivacy richt zich op kwesties met betrekking tot het verzamelen, opslaan en bewaren van gegevens, evenals gegevensoverdrachten binnen de toepasselijke regelgeving en wetten, zoals GDPR en HIPAA . Gegevensbeveiliging is de bescherming van gegevens tegen ongeautoriseerde toegang, verlies of corruptie gedurende de levenscyclus van gegevens.
Een privacyverklaring is altijd verplicht. Iedere organisatie is verplicht om met een privacyverklaring mensen heldere informatie te geven over de persoonsgegevens die de organisatie verwerkt en voor welke doelen dat gebeurt.