#3: PIA

Een PIA of DPIA, of zaols de Nederlandse tekst van de AVG dit omschrijft, een gegevensbeschermingseffectbeoordeling, is een van de "nieuwe" onderwerpen in de AVG.

Een PIA is geen allesomvattend tovermiddel om in een keer te voldoen aan privacywetgeving. Heel concreet is een PIA een vragenlijst, een heel goed doordachte vragenlijst. Inmiddels zijn er diverse PIA’s ontwikkeld. Er zijn ook diverse marktpartijen gespecialiseerd in het uitvoeren van een PIA. De meningen verschillen over het bestaan van een verplichting, behalve dan voor de rijksoverheid, tot het uitvoeren van een PIA onder de Wbp. Vanaf 25 mei 2018 is er geen twijfel mogelijk, het uitvoeren van een PIA of DPIA is een verplichting in bepaalde situaties.

  • Verplicht of niet onder de Wbp?
    Onder de AVG is het uitvoeren van een PIA in specifieke situaties verplicht. Zie de vraag hierna.

    De meningen verschillen over het antwoord op de vraag of het uitvoeren van een PIA onder de Wbp ook verplicht is. Strikt genomen staat de verplichting niet in de Wbp. Uit diverse uitlatingen en publicaties van de AP blijkt echter dat om te voldoen aan artikel 13 Wbp (beveiliging) het uitvoeren van een PIA nodig is.

    Uitlatingen en publicaties AP
    In 2013 heeft het Cbp (nu AP) de Richtsnoeren beveiliging van persoonsgegevens gepubliceerd. Hierin wordt de bekende plan-do-act-check cyclus besproken. In de Richtsnoeren wordt letterlijk benoemd dat voor aanvang van deze cyclus een PIA moet worden uitgevoerd. Tot 2013 werd algemeen aangenomen dat een PIA in feite gelijk was aan het zich continue herhalende proces van de plan-do-act-check cyclus. De AP heeft in de Richtsnoeren beveiliging (en daarna) echter aangegeven dat een PIA voor aanvang van een nieuwe (of hernieuwde) verwerking moet worden uitgevoerd en voor de nakoming van artikel 13 Wbp (beveiliging) nodig is.
    Ook in eerdere presentaties, toespraken en uitlatingen van de AP valt de PIA verplichting af te leiden. Hier doelen wij op de nadruk die door de AP is gelegd op het hanteren van de beginselen van privacy by design en privacy by default. Deze beginselen staan nu letterlijk als verplichting in de AVG (artikel 25). Deze beginselen kunnen in principe ook alleen worden toegepast door eerst een beoordeling te maken van de privacy effecten die een beoogde verwerking heeft. Dit gebeurt door het uitvoeren van een PIA.
    Sinds 1 september 2013 geldt voor de Rijksoverheid het Toetsmodel Privacy Impact Assessment Rijksdienst. Binnen de overheid zal bij de ontwikkeling van nieuwe wetgeving en beleid standaard een PIA worden uitgevoerd.

    Werkgroep 29
    De WG 29 heeft zich in een adviserende opinie over RFID toepassingen concreet uitgelaten over het uitvoeren van een PIA. Dit betreft Opinion 9/2011 on the revised industry proposal for a privacy and data PIA framework for RFID applications. Uit de opinie blijkt in ieder geval dat ook de Werkgroep 29 een PIA ziet als middel om ingebouwde privacy (by design) te bevorderen, zodat een PIA dus voor aanvang van een nieuwe verwerking moet worden uitgevoerd.
  • Onder de AVG
    De AVG bepaalt in artikel 35 de verplichting tot het uitvoeren van een gegevensbeschermingseffectbeoordeling (een PIA). Samengevat bestaat de verplichting indien:
    • een soort verwerking, vooral met gebruik van nieuwe technologieën, gelet op de aard, omvang, context en de doeleinden waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (inderdaad, een "fill in yourself" open norm);
    • de verwerking profiling betreft, of een andersoortige systematische en uitgebreide beoordeling van persoonlijke aspecten gebaseerd op een geautomatiseerde verwerking betreft;
    • er op grote schaal bijzondere persoonsgegevens (artikel 9 AVG) of strafrechtelijke gegevens (artikel 10 AVG) worden verwerkt (Let op: de AVG benoemd specifiek nu ook genetische en biometrische gegevens als bijzonder persoonsgegeven);
    • sprake is van stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten (denk aan wifi-tracking)
    • de verwerking wordt vermeld op de door een toezichthoudende autoriteit opgestelde en openbaar gemaakte lijst.

    De toezichthoudende autoriteit kan ook een lijst opstellen en openbaar maken van verwerkingen waarvoor géén PIA is vereist. Een soort vrijstellingsbesluit.

    Inmiddels heeft de artikel 29 Werkgroep zich in oktober 2017 nogmaals uitgelaten over de verplichting tot uitvoeren van een PIA. Deze aangepaste richtsnoeren vindt u hier.

    Download: WG29 Guidelines on DPIA October 2017.pdf

  • Omvang verplichting
    Juridisch is de verplichting tot het uitvoeren van een PIA interessant. Is dit een inspanningsverplichting? In de zin van "u moet een assessment uitvoeren". Of gaat het hier om een resultaatsverplichting? In de zin van "u moet een bruikbaar assessment uitvoeren".

    Zoals de verplichting nu in de AVG staat geformuleerd, is sprake van een inspanningsverplichting. Alhoewel de tekst van artikel 35 lid 7 sub d en artikel 35 lid 11 AVG er blijk van geven dat het resultaat en de beoogde maatregelen die uit de PIA volgen wél ter zake doen. Een zekere mate van resultaatsverplichting is dus wel in artikel 35 AVG te lezen.

    Dit betekent dat er niet lichtvaardig met de verplichting kan worden omgegaan. Zeker niet nu overtreding van een verplichting uit de AVG grote financiële gevolgen kan hebben. Zeker niet nu het aantoonbaar voldoen aan de beginselen van de AVG een van de basis principes is geworden. Een PIA levert een rapportage op, zodat u daarmee kunt aantonen dat u in ieder geval (een deel van) uw verwerkingen en verplichtingen in kaart heeft gebracht.

    Uit jurisprudentie over wettelijke inspanningsverplichtingen volgt het criterium "dat ter nakoming van de verplichting redelijkerwijs gedaan moet worden wat van een zorgvuldig handelde normadressaat in dat kader verwacht mag worden". 

    Op dit moment is ook het "redelijkerwijs doen" en "zorgvuldig handelen" nog niet ingevuld voor het uitvoeren van een PIA. Er is nog geen concrete handleiding voor het doen van een PIA beschikbaar van de AP (wel van andere toezichthouders, zie hierna). Ook is er nog geen opinie van de artikel 29 werkgroep. Los van de discussie over de status van deze documenten, is het aan te raden om deze te volgen zodra ze beschikbaar zijn. En tot die tijd? Zou de verplichting kunnen worden ingevuld door:
    • De NOREA PIA (gehele document) goed te lezen en als uitgangspunt te nemen;
    • Een goed team samen te stellen van tenminste een IT-auditor en een jurist;
    • de uitkomsten van de PIA ter harte te nemen en hier actie op te ondernemen.
  • Wie voert een PIA uit?
    De verantwoordelijke (verwerkingsverantwoordelijke volgens de AVG). Dit is dus geen verplichting die rechtstreeks bij een bewerker wordt neergelegd.

    De verantwoordelijke mag zelf bepalen wie de PIA uitvoert. Het is aan te raden om een team samen te stellen waarbij tenminste een IT-auditor en een jurist zijn betrokken. De uitkomsten van de PIA kunnen dan ook zowel technisch als juridisch (documenten en overeenkomsten) worden opgepakt.

    Let op: Artikel 35 lid 2 AVG verplicht de verantwoordelijke om advies in te winnen bij de FG bij het uitvoeren van de PIA.
  • Handleiding voor een PIA
    Iedere PIA is anders. Toch is het mogelijk om aan te geven waaraan een PIA moet voldoen om bruikbaar te zijn.

    De Engelse toezichthouder, ICO, en de Franse toezichthouder, CNIL, hebben hier een document over gepubliceerd. Als u van plan bent om een PIA te initiëren, begeleiden of als u om advies wordt gevraagd dan is het handig om deze documenten eens door te lezen.

    Download: ICO pia-code-of-practice.pdf CNIL-PIA-1-Methodology.pdf

  • Voorbeelden van een PIA
    Een PIA is geen statische vragenlijst. Een PIA wordt per vraagstuk opnieuw ontwikkeld en opgesteld.

    Er zijn wel PIA's vrij beschikbaar die zijn ontwikkeld door commerciële of niet commerciële partijen. NOREA, de beroepsorganisatie van IT-auditors, heeft als een van de eerste partijen een PIA ontwikkeld. Hier is inmiddels al een tweede versie van beschikbaar waarin ook de meldplicht datalekken is verwerkt. Deze treft u hierbij aan.

    De AP, toen nog Cbp, heeft reeds in 2001 aandacht besteed aan audits en scans. Er zijn in 2001 een drietal documenten gepubliceerd met toelichting. Deze zijn door de veranderde wetgeving niet meer actueel, maar geven wel een idee van de omgang met een audit, scan of PIA. De quickscan is ook goed bruikbaar om door afdelingen binnen een organisatie in te laten vullen voordat u als FG of DPO het gesprek aangaat over privacy. 

    Uiteraard kunnen wij ook een Privacy Quickscan op maat voor u maken en uitvoeren. Dit kost max Euro 850,00 ex BTW. Wij hebben ook de nodige ervaring met PIA's en werken samen met IT-auditors die diverse PIA's hebben opgesteld en uitgevoerd.

    Download: NOREA PIA v1.2.pdf Raamwerk_Privacyaudit CBP.pdf CBP toelichting audit producten en Quickscan.pdf quickscan CBP.pdf CBP zelfevaluatie wbp.pdf

Meer informatie over uw specifieke situatie? Wij helpen u graag verder