#3: Data gebruiken? Idea is PIA

Voordat een nieuw idee om data te gebruiken wordt uitgevoerd, is het verstandig (en zelfs verplicht) om na te denken over de privacy-gevolgen. Een bruikbaar middel hierbij is een PIA. Of te wel, een Privacy Impact Assessment. 

Dit is geen allesomvattend tovermiddel om in een keer te voldoen aan privacywetgeving. Heel concreet is een PIA een vragenlijst, een heel goed doordachte vragenlijst. Inmiddels zijn er diverse PIA's ontwikkeld. Er zijn ook diverse marktpartijen gespecialiseerd in het uitvoeren van een PIA. 

Onder de nieuwe Privacy Verordening (AVG) bestaat er een verplichting om PIA's uit te voeren voor bedrijven. Op dit moment is er voor de rijksoverheid een PIA-verplichting bij het ontwerpen van wetgeving. 

  • Wat is een PIA?

    Een Privacy Impact Assessment is een vragenlijst. Een vragenlijst die u zelf moet invullen of laat invullen. Een vragenlijst die u inzicht geeft in de gevolgen die uw plannen om data te gebruiken, hebben voor de privacyrechten van anderen. Ook geeft de vragenlijst (of beter uw antwoorden) inzicht in de privacyrisico's voor uw organisatie.

    U voert een PIA uit voor u uitvoering geeft aan een nieuw plan om data te gebruiken. U kunt ook een PIA uitvoeren als er een aanpassing nodig zijn van een bestaand gebruik van data. Of jaarlijks, als privacycheck van uw organisatie. Een PIA is een middel, geen oplossing. 

    Aan de hand van de antwoorden in de PIA kunnen acties worden bepaald. Bijvoorbeeld hoe u een systeem moet inrichten, wanneer en hoe u toestemming moet vragen aan betrokkenen, welke beveiliging nodig is en wat u mag doen met data.

    Het moment waarop een PIA wordt uitgevoerd is dus van groot belang. Dit moet vóórdat u begint met verzamelen van data en in ieder geval vóórdat u een (ict)systeem gaat maken. Dus ook vóórdat u een app of website lanceert en vóórdat u een marketingcampagne start.

  • Voorbeelden van een PIA

    Er zijn diverse PIA’s (vragenlijsten over privacy compliance) ontwikkeld door diverse partijen. Zowel door commerciële als door niet commerciële partijen.

    NOREA

    NOREA is de beroepsorganisatie van IT-auditors. Een IT-auditor voert de titel RE, wat staat voor Register-EDP auditor (waarbij EDP staat voor electronic data processing). Een IT-auditor is iemand die zich heeft gespecialiseerd in informatietechnologie, het gebruik hiervan binnen organisaties en de beoordeling van de systemen en het gebruik. De verwerking van data, persoonsgegevens, gebeurt bijna altijd met gebruik van informatietechnologie (een ict-systeem). Een IT-auditor is daarom goed in staat om een PIA voor u uit te voeren. Aan de hand van de uitkomsten van de PIA kunt tijdig de techniek aanpassen en kunt u met een jurist de gevonden privacyrisico’s via contracten of voorwaarden afdichten.

    NOREA heeft een PIA ontwikkeld die als basis kan dienen voor een specifieke PIA. Inmiddels is er al een tweede bijgewerkte versie beschikbaar.

    DE TOEZICHTHOUDER

    De Autoriteit Persoonsgegevens ("AP") heeft zelf al in 2001 een aantal documenten gepubliceerd. Dit waren:

    • de Quickscan en toelichting om een globale indruk te verkrijgen van het privacybewustzijn binnen een organisatie (voor intern gebruik);
    • de WBP-zelfevaluatie met mogelijkheid tot review om zelf binnen een gehele organisatie overzicht te krijgen van de wijze waarop de wetgeving wordt nageleefd en om te bepalen wat het gewenste niveau van de bescherming van persoonsgegevens is (voor gebruik door bestuur);
    • het Raamwerk privacy audit om te bepalen of het zinvol is om een externe privacy audit te laten uitvoeren en om te bepalen hoe het auditplan eruit kan zien (voor externe auditors).

    In een vierde document geeft het Cbp (nu de AP) een uitleg bij de documenten. Deze documenten zijn op de huidige vernieuwde site van de AP niet meer terug te vinden, omdat ze niet voldoen aan de huidige vernieuwde wetgeving. In de praktijk wordt de quickscan nog steeds veelvuldig gebruikt door een aantal privacy officers om afdelingen binnen een organisatie zich bewust te laten worden van privacy issues. We maken hier enkel voor uw beeldvorming deze documenten beschikbaar. Let op: de CBP documenten zijn niet actueel en geven u bij gebruik geen juist of volledig beeld van de privacy issues binnen uw organisatie.

    Download: NOREA PIA v1.2.pdf CBP toelichting audit producten en Quickscan.pdf quickscan CBP.pdf Raamwerk_Privacyaudit CBP.pdf CBP zelfevaluatie wbp.pdf

  • (Financiële) voordelen van een PIA

    Als het uitvoeren van een PIA voor uw organisatie na invoering van de nieuwe Privacy Verordening verplicht is dan is het voordeel van een PIA duidelijk: u voldoet aan een wettelijke verplichting, dus uw risico op een boete voor overtreding van deze verplichting neemt af.

    Maar wat zijn in het algemeen de voordelen van het uitvoeren van een PIA?

    • U krijgt inzicht in de verplichtingen die voor u gelden bij het gebruik van data. Deze verplichtingen kunnen in verschillende wetten staan. Zelfs wetten waar u nog niet aan had gedacht. 
    • U kunt door dit inzicht tijdig technische aanpassingen maken in uw dienst of product. Het is altijd duurder om na de lancering een website of app buiten gebruik te stellen en aan te passen. Het is ook onpraktisch en duurder om een ict-systeem na oplevering uit te moeten zetten en aan te passen.
    • U kunt tijdig alle (meer)werk afspraken met uw ict-dienstverlener, ontwikkelaar, marketingbureau, digital marketing agency maken. Als men achteraf aanpassingen voor u moet maken, heeft u altijd een slechtere onderhandelingspositie.
    • U kunt tijdig juridisch uw aansprakelijkheid uitsluiten of beperken jegens de juiste partijen. Dit doet u in gebruikersvoorwaarden, bewerkersovereenkomsten, algemene voorwaarden en in de overeenkomst van opdracht met de ontwikkelaar, ict-dienstverlener of digital marketing agency.
    • U kunt privacy als marketing instrument gebruiken. U kunt het vertrouwen van consumenten winnen. U kunt ook aan uw zakelijke relaties tonen dat u een serieuze marktpartij bent. 

  • Verplicht of niet verplicht?
    Op dit moment is dat een discussiepunt. De wet, Wbp, bepaalt nu nog niet letterlijk dat er een PIA moet worden uitgevoerd voor het ontwerpen of bouwen van nieuwe producten (systemen) of diensten waarbij data wordt gebruikt. Wel heeft de toezichthouder, AP, diverse malen stukken gepubliceerd waarbij de verplichting om datagebruik te beveiligen zo wordt uitgelegd dat de principes van "privacy by design" en "privacy by default" moeten worden toegepast. Of te wel, je moet bij het ontwerp van een product of dienst al aan privacy denken en het systeem moet zo zijn ingesteld dat de maximale privacy(vriendelijkheid) wordt bereikt. Dit kan alleen door tijdig het effect van een nieuw systeem, product of dienst op de privacy van anderen te onderzoeken door het uitvoeren van een PIA.

    In de nieuwe Europese Privacy Verordening is letterlijk de verplichting tot toepassen van "privacy by design" en "privacy by default" opgenomen in artikel 25.

    In artikel 35 staat de verplichting tot "gegevensbeschermingseffectbeoordeling", dat is de Nederlandse vertaling van een PIA.

    Onder de nieuwe EPV is het uitvoeren van een PIA verplicht als:
    • er nieuwe technologieën worden gebruikt bij de dataverwerking en
    • gelet op de aard, omvang, context en de doeleinden van de verwerking waarschijnlijk een hoog risico bestaat voor de rechten en vrijheden van natuurlijke personen;
    • er profielen worden gemaakt van mensen, of op basis van profilering besluiten worden genomen over deze mensen;
    • er bijzondere gegevens worden gebruikt (zoals over ras, over geloof, biometrische of gezondheidsgegevens, of seksuele gerichtheid, politieke voorkeur);
    • er stelselmatig en grootschalige monitoring plaatsvindt van openbaar toegankelijke ruimten (denk aan wifi-tracking).

    Dit zijn weer de bekende open normen van de privacywetgeving. Deze zijn niet duidelijk en voor uitleg vatbaar. Er zullen voor extra duidelijkheid nog lijsten bekend worden gemaakt waarop staat wanneer het uitvoeren van een PIA verplicht is.
  • Wie voert een PIA uit?

    In principe bepaalt u zelf welke mensen de PIA uitvoeren.

    Het is inmiddels wel bewezen dat de bruikbaarheid van een PIA afhangt van de (vakkundigheid) van de mensen die de PIA uitvoeren. Vaak is het nodig om een team samen te stellen.

    Privacy bestaat uit technische aspecten en juridische aspecten. Een combinatie van een IT-auditor en een jurist is daarom logisch.

    Dit team zal eerst de juiste vragen moeten formuleren. Daarna zullen de vragen op juiste wijze (aan de juiste personen) gesteld moeten worden en de antwoorden zullen op juiste wijze moeten worden begrepen. Doorvragen is soms nodig voor een goed beeld.

    U kunt een PIA vergelijken met het uitvoeren van een due diligence onderzoek bij een overname. Dit is alleen dan bruikbaar voor u als u de juiste mensen inschakelt, die de antwoorden op een juiste manier vastleggen en verwerken in een koopovereenkomst.

Meer informatie over uw specifieke situatie? Wij helpen u graag verder