How to – Privacy Impact Assessments

Privacy Impact Assessments

De nieuwe privacywetgeving die sinds 25 mei 2018 van kracht is stelt organisaties verplicht om periodiek privacy impact assessments uit te voeren. Hoe voert men dit uit? Waar dient men rekening mee te houden?

Een privacy impact assessment is simpel gezegd een risico-analyse die organisaties stimuleert mee te denken over de privacy binnen en buiten de organisatie. Het meedenken over privacy is van cruciaal belang bij bijvoorbeeld het starten van nieuwe projecten of het ontwerpen van systemen. Door in een vroeg stadia al mee te denken over de privacy en bescherming van persoonsgegevens kunnen tijdrovende en kostbare procedures worden voorkomen. Een voorbeeld hiervan is een datalek, waarbij duizenden persoonsgegevens op straat komen te liggen in combinatie met de imagoschade die hierdoor oplopen wordt kan catastrofaal zijn voor een organisatie.

Hoe werkt een privacy impact assessment precies?
De NOREA (de Nederlandse beroepsorganisatie voor IT-auditors) heeft een richtlijnen opgesteld met daarin kritische vragen die organisaties zich kunnen stellen over hun privacy. De privacy impact assessments toetst op zeven verschillende gebieden binnen de organisatie:

  • Het type project
  • De gegevens die gebruikt zullen worden
  • De partijen die betrokken zijn bij het uitvoeren van het project
  • Verzameling van gegevens
  • Gebruik van de gegevens
  • Bewaren en vernietiging van gegevens
  • Beveiligen van gegevens

Wie kan een privacy impact assessment uitvoeren?
De functionaris gegevensbescherming is de uitgerekende persoon om een privacy impact assessment te doen binnen de organisatie. De functionaris gegevensbescherming heeft een onafhankelijk positie binnen de organisatie en heeft daarnaast ook professionele juridische kennis om de privacy impact assessment goed uit te kunnen voeren.

De functionaris gegevensbescherming dient op basis van een privacy impact assessment een advies met waarin aandacht wordt besteedt aan de risico’s en welke eventuele maatregelen genomen kunnen worden.

Uiteraard kan een organisatie een privacy impact assessment zelf uitvoeren. Een groot risico bij het zelf uitvoeren van een privacy impact assessment is dat de privacy impact assessment niet onafhankelijk en objectief is gebeurd. Bij een datalek, kan de Autoriteit Persoons om inzage van documenten vragen en als blijkt dat de privacy impact assessment negatief was, maar dat advies genegeerd is dan kan dit resulteren in een mogelijke boete.

Het doen van privacy impact assessments voorkomt toekomstige complicaties en ongevallen zoals datalekken door tijdig maatregelen te nemen die hierop zijn afgestemd. Wilt u meer weten? Wij helpen u graag verder! U kunt contact met ons opnemen via de contactpagina!

Afspraak maken