Onder de AVG is het uitvoeren van een DPIA (data protection impact assessment) in specifieke situaties verplicht. Zie de vraag hierna.
De meningen verschillen over het antwoord op de vraag of het uitvoeren van een DPIA onder de Wbp ook al verplicht was. Onder de Wbp werd overigens gesproken van een PIA, privacy impact assessment. Een term die nog steeds gangbaar is.
Strikt genomen staat de verplichting tot het uitvoeren van een PIA/DPIA niet in de Wbp. Uit diverse uitlatingen en publicaties van de AP blijkt echter dat om te voldoen aan artikel 13 Wbp (beveiliging) het uitvoeren van een PIA nodig is.
Uitlatingen en publicaties AP
In 2013 heeft het Cbp (nu AP) de Richtsnoeren beveiliging van persoonsgegevens gepubliceerd. Hierin wordt de bekende plan-do-act-check cyclus besproken. In de Richtsnoeren wordt letterlijk benoemd dat voor aanvang van deze cyclus een PIA moet worden uitgevoerd. Tot 2013 werd algemeen aangenomen dat een PIA in feite gelijk was aan het zich continue herhalende proces van de plan-do-act-check cyclus. De AP heeft in de Richtsnoeren beveiliging (en daarna) echter aangegeven dat een PIA voor aanvang van een nieuwe (of hernieuwde) verwerking moet worden uitgevoerd en voor de nakoming van artikel 13 Wbp (beveiliging) nodig is.
Ook in eerdere presentaties, toespraken en uitlatingen van de AP valt de PIA verplichting af te leiden. Hier doelen wij op de nadruk die door de AP is gelegd op het hanteren van de beginselen van privacy by design en privacy by default. Deze beginselen staan nu letterlijk als verplichting in de AVG (artikel 25). Deze beginselen kunnen in principe ook alleen worden toegepast door eerst een beoordeling te maken van de privacy effecten die een beoogde verwerking heeft. Dit gebeurt door het uitvoeren van een PIA.
Sinds 1 september 2013 geldt voor de Rijksoverheid het Toetsmodel Privacy Impact Assessment Rijksdienst. Binnen de overheid zal bij de ontwikkeling van nieuwe wetgeving en beleid standaard een PIA worden uitgevoerd.
Werkgroep 29
De WG 29 heeft zich in een adviserende opinie over RFID toepassingen concreet uitgelaten over het uitvoeren van een PIA. Dit betreft Opinion 9/2011 on the revised industry proposal for a privacy and data PIA framework for RFID applications. Uit de opinie blijkt in ieder geval dat ook de Werkgroep 29 een PIA ziet als middel om ingebouwde privacy (by design) te bevorderen, zodat een PIA dus voor aanvang van een nieuwe verwerking moet worden uitgevoerd.