Preventief werken met privacy impact assessment

In 2018 wordt de Algemene Verordening Gegevensbescherming van kracht. Dit is strenge, Europabrede privacywetgeving. Vooral organisaties die veel, veel verschillende en bijzonder gevoelige data verwerken, zouden vooraf al goed moeten weten waar ze mee te maken krijgen.

Op 25 mei 2018 krijgen organisaties te maken met de Algemene Verordening Gegevensbescherming (AVG). Hierin wordt geregeld hoe zij om moeten gaan met het beheer en de verwerking van persoonsgegevens. Vooral in de eerste periode na het lanceren van nieuwe wet- en regelgeving is er altijd nog veel onduidelijk. Er bestaat immers nog geen jurisprudentie om op terug te vallen, dus veel begrippen moeten nog nader ingevuld worden. Er is een hulpmiddel om inzicht te krijgen in de kans op uitglijders bij het werken met persoonsgegevens, en dit is een zogenoemd privacy impact assessment (PIA). Hiermee is na te gaan wat de gevolgen zijn van projecten en informatiesystemen voor de privacy van de mensen waar persoonsgegevens van verwerkt worden en welke risico’s de organisatie zelf loopt. Ook wordt er gezocht naar alternatieve werkwijzen die de risico’s kunnen verkleinen.

PIA als preventieve maatregel

De Autoriteit Persoonsgegevens noemt een PIA als mogelijkheid voor organisaties die van te voren de risico’s willen aftasten. Voor ingewikkelde of specifieke zaken kan de hulp van een jurist ingeroepen worden; in andere gevallen helpt mogelijk een online tool om een risicoanalyse voor informatiebeveiliging te doen. Om deze te kunnen gebruiken, is het nodig een account aan te maken.

De Europese Commissie heeft onlangs een voorstel voor de e-privacyverordening gepubliceerd. Deze verordening staat los van de AVG en vult de AVG aan. In het nieuwsartikel E-privacyverordening vult regels AVG aan vindt u meer informatie hierover.