Data Privacy Impact Assessment

De PIA is een hulpmiddel voor organisaties om de privacyimpact van hun projecten/diensten te evalueren. Door het gebruik van de DPIA kan bescherming van persoonsgegevens op een gestructureerde manier onderdeel uitmaken van de belangenafweging en besluitvorming over een project.

Algemene beschrijving

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht. Vanaf dit moment kunnen organisaties verplicht zijn een Data Protection Impact Assessment (DPIA) uit te voeren. In de Nederlandse vertaling van de AVG wordt de term data protection impact assessment (DPIA) gegevensbeschermingseffectbeoordeling genoemd.

Doelstelling

Doelstelling van een Data Privacy Impact Assessment (DPIA) is de risico’s bloot te leggen van projecten of diensten die mogelijkerwijs privacygevoelige gegevens verwerken. Naast het blootleggen is ook het vermijden of verminderen van deze privacy risico’s een belangrijk onderdeel. Op basis van de PIA wordt op systematische wijze inzichtelijk gemaakt of er een kans is dat de privacy van betrokkenen wordt geschaad, hoe hoog deze is en op welke gebieden dit het geval is.

Aanpak

Als eerste stap wordt er een verkenning uitgevoerd ten aanzien van het project of de dienst. In kaart wordt (onder meer) gebracht:

  • Wat is de doelstelling en de (maatschappelijke) context van het project of de dienst
  • Welke processen gaan in welke mate gebruik maken van de resultaten van het project of de dienst?
  • Wie zijn de belangrijkste betrokkenen en welke eisen en wensen hebben zij ten aanzien van het project/dienst?
  • Welke gegevens worden verzameld voor het uitvoeren van het project/dienst, hoe worden deze gegevens verzameld en met welke systemen worden de gegevens verwerkt?

Deze verkenning wordt uitgevoerd aan de hand van analyse van beschikbare documentatie, interviews of workshops met betrokkenen.

De DPIA wordt uitgevoerd op basis van een gestandaardiseerde vragenlijst. Daarin wordt aan de hand van een aantal risicogebieden de impact op het project of de dienst en de organisatie van het schaden van privacy van betrokkenen vastgesteld. Op basis van de geconstateerde risico’s voor het project of de dienst en de organisatie kan worden vastgesteld welke maatregelen getroffen kunnen worden om privacy risico’s te minimaliseren

Resultaat

Een verslag dat input levert voor discussie ten aanzien van privacy. Daarbij een goede en evenwichtige belangenafweging tussen belangen van de gebruikers van de resultaten van het project of de dienst en de privacybelangen van betrokkenen. Maar natuurlijk ook advisering over aandachtspunten voor verdere uitvoering van het project of de dienst dan wel te nemen maatregelen om privacy risico’s te beperken en voor het faciliteren van besluitvorming.

MEER WETEN?

Wij helpen u snel verder!

x
RICHARD HULZINGA

Sales Consultant

Met mijn collega’s help ik u snel verder.

Bel: 06-51663174
of stuur een e-mail:
richard.hulzinga@sincerus.nl

Maak kennis met de professionals van Sincerus

Voor vrijblijvend advies of bijvoorbeeld
een gratis securityscan!
Menu