Privacy Impact Assessment

Een Privacy Impact Assessment (PIA) moet worden uitgevoerd als de verwerking van persoonsgegevens een hoog risico oplevert voor de betrokkene. Aan de hand van dit instrument wordt het effect van de verwerking van deze gegevens vooraf beoordeeld.

Een PIA geeft bedrijven inzicht in hoe groot de kans is dat de privacy van de betrokkenen wordt geschaad, waar deze risico’s zich bevinden en welke gevolgen daaraan voor hen verbonden zijn. Op basis van de uitkomsten van de PIA kunt u gericht acties ondernemen om deze risico’s te verminderen.

Een PIA stimuleert bedrijven om goed na te denken over de volgende vragen:

  • Wat is de impact van het beoogde project op de privacy van de betrokkenen?
  • Wat zijn de risico’s voor de betrokkenen en voor de organisatie?
  • Is er, op basis van de doelstellingen van het project, ook een aanpak mogelijk die minder gevolgen heeft voor de privacy?

Wat moeten webwinkeliers doen?

Een Privacy Impact Assessment kan worden uitgevoerd in vier stappen:

  1. Geef een overzicht van alle verwerkingen en de doelen waarvoor deze verwerkingen worden uitgevoerd.
  2. Beoordeel of de verwerkingen gerechtvaardigd zijn. Is er een rechtvaardigingsgrond voor het verwerken van deze gegevens op basis van het doel waarvoor je ze verwerkt? Een rechtvaardigingsgrond kan zijn:
    1. De verwerking is noodzakelijk voor de uitvoering van de overeenkomst.
    2. De verwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang van de ondernemer en het privacybelang van de betrokkene prevaleert niet.
    3. Je hebt toestemming van de consument om deze gegevens te verwerken.
  3. Beoordeel het effect van de verwerking op de betrokkenen.
  4. Bepaal maatregelen om de risico’s voor betrokkenen te beperken.

Voor meer informatie over de Privacy Impact Assessment, verwijzen we net als de Autoriteit Persoonsgegevens (AP) graag naar de handreiking die is uitgegeven door NOREA, de beroepsorganisatie van ict-auditors.