Avatar van Janneke

AVG/GDPR: een checklist voor je privacyrisico’s (deel 2/4)

De AVG/GDPR is wetgeving die het verwerken van persoonlijke gegevens degelijk maar grondig regelt. Vanaf 25 mei kan jij hier niet meer omheen. Na de introductie volgt deel 2 van 4, over het maken van een Privacy Impact Assessment.

De afko’s vliegen je om de oren. AVG, GDPR, FG, AP… en daar voegen we graag nog een heel belangrijke afkorting aan toe. Met een (Data) Privacy Impact Assessment (DPIA of PIA) kan jij jouw gegevensverwerking in kaart brengen.

Stevige impact

Vanaf 25 mei 2018 - wanneer de nieuwe privacywetgeving AVG/GDPR van start gaat - kan je verplicht zijn een Data Protection Impact Assessment (DPIA) uit te voeren. Een DPIA is een document waarmee je de privacyrisico’s met betrekking tot de gegevensverwerking van je organisatie in kaart brengt, waarmee je maatregelen kunt nemen om deze risico’s te verkleinen. Het geeft inzicht in de impact bij verlies, diefstal of een datalek. Een lek kan bij de ene partij een andere impact hebben dan bij een ander. Want vindt het datalek plaats op een website met advertenties of een webshop met erotische artikelen?

Voorbeelden

Binnen de wet worden persoonsgegevens ingedeeld in drie categorieën:

  • een contactformulier heeft waar bezoekers hun NAW-gegevens of e-mailadres kunnen opgeven;
  • een mailinglijst gebruikt met e-mailadressen van je klanten;
  • Google Analytics op je website gebruikt;
  • een klantenbestand bijhoudt.

Met andere woorden, bijna elke moderne website verwerkt tegenwoordig persoonsgegevens. Als je de verwerking op je website of applicatie inventariseert, voorkomt jij verrassingen.

Verplicht of vrijwillig?

Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt voor de betrokkenen. Maar… de Autoriteit Persoonsgegevens raadt aan om vrijwillig een Privacy Impact Assessment (PIA) uit te voeren. Het levert namelijk een aantal voordelen  voor je op, zoals bijvoorbeeld: een betere kwaliteit van je gegevens, meer privacybewustzijn binnen je organisatie en meer vertrouwen van jouw klanten en werknemers. Inhoudelijk is er tussen een DPIA en een PIA weinig verschil. Dit betekent dat je PIA ook na de inwerkingtreding van de nieuwe privacywetgeving kan worden gebruikt.

Doorloop de volgende checklist voor het samenstellen van je PIA. Deze checklist is afkomstig van de website van de beroepsorganisatie van IT-auditors (NOREA).

Let op: Hoewel wij ons uiterste best hebben gedaan om de wetgeving te doorgronden en de toepasselijkheid hiervan goed in te schatten, wijzen wij je erop dat wij geen juristen zijn en ons advies in dat licht moet worden bezien. Wij hebben ons advies gebaseerd op literatuuronderzoek, richtlijnen van de AP, de wijze waarop in de markt hiermee wordt omgegaan en het publieke debat dat plaatsvindt. De wet is jong, en er is nog geen jurisprudentie ontstaan.

Avatar van Janneke

De online wereld beter maken. Dat is de passie van Janneke. Enthousiast, creatief en doordacht. Als webconsultant werkt ze graag mee aan het ontwikkelen van websites en webapplicaties die er supermooi uitzien, vooral lekker werken en ons leven nét iets makkelijker maken.