
AVG/GDPR: een checklist voor uw privacyrisico’s (deel 2/4)
De AVG/GDPR is wetgeving die het verwerken van persoonlijke gegevens degelijk maar grondig regelt. Vanaf 25 mei kunt u hier niet meer omheen. Na de introductie volgt deel 2 van 4, over het maken van een Privacy Impact Assessment.
De afko’s vliegen u om de oren. AVG, GDPR, FG, AP… en daar voegen we graag nog een heel belangrijke afkorting aan toe. Met een (Data) Privacy Impact Assessment (DPIA of PIA) kunt u uw gegevensverwerking in kaart brengen.
Stevige impact
Vanaf 25 mei 2018 - wanneer de nieuwe privacywetgeving AVG/GDPR van start gaat - kunt u verplicht zijn een Data Protection Impact Assessment (DPIA) uit te voeren. Een DPIA is een document waarmee u de privacyrisico’s met betrekking tot de gegevensverwerking van uw organisatie in kaart brengt, waarmee u maatregelen kunt nemen om deze risico’s te verkleinen. Het geeft inzicht in de impact bij verlies, diefstal of een datalek. Een lek kan bij de ene partij een andere impact hebben dan bij een ander. Want vindt het datalek plaats op een website met advertenties of een webshop met erotische artikelen?
Voorbeelden
Binnen de wet worden persoonsgegevens ingedeeld in drie categorieën:
- een contactformulier heeft waar bezoekers hun NAW-gegevens of e-mailadres kunnen opgeven;
- een mailinglijst gebruikt met e-mailadressen van uw klanten;
- Google Analytics op uw website gebruikt;
- een klantenbestand bijhoudt.
Met andere woorden, bijna elke moderne website verwerkt tegenwoordig persoonsgegevens. Als u de verwerking op uw website of applicatie inventariseert, voorkomt u verrassingen.
Verplicht of vrijwillig?
Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt voor de betrokkenen. Maar… de Autoriteit Persoonsgegevens raadt aan om vrijwillig een Privacy Impact Assessment (PIA) uit te voeren. Het levert namelijk een aantal voordelen voor u op, zoals bijvoorbeeld: een betere kwaliteit van uw gegevens, meer privacybewustzijn binnen uw organisatie en meer vertrouwen van uw klanten en werknemers. Inhoudelijk is er tussen een DPIA en een PIA weinig verschil. Dit betekent dat uw PIA ook na de inwerkingtreding van de nieuwe privacywetgeving kan worden gebruikt.
Doorloop de volgende checklist voor het samenstellen van uw PIA. Deze checklist is afkomstig van de website van de beroepsorganisatie van IT-auditors (NOREA).
Let op: Hoewel wij ons uiterste best hebben gedaan om de wetgeving te doorgronden en de toepasselijkheid hiervan goed in te schatten, wijzen wij u erop dat wij geen juristen zijn en ons advies in dat licht moet worden bezien. Wij hebben ons advies gebaseerd op literatuuronderzoek, richtlijnen van de AP, de wijze waarop in de markt hiermee wordt omgegaan en het publieke debat dat plaatsvindt. De wet is jong, en er is nog geen jurisprudentie ontstaan.