De Privacy Impact Assessment (PIA): wat, hoe en wanneer?

Beveiligingscamera die buiten hangt bij een kantorenpand

‘Voor onze veiligheid’

De laatste jaren is er ontzettend veel gediscussieerd over privacy. Dat de overheid met je meekijkt, is geen nieuws meer. Wat wél nieuw is, is de groei van datalekken en cybercrime. Mensen zijn zich er daarom meer dan ooit van bewust dat ze eigenlijk geen idee hebben wat er met hun gegevens gedaan wordt. Daar moet de PIA verandering in gaan brengen.

De Privacy Impact Assessment

De Privacy Impact Assessment (PIA) – oftewel de Data Protection Impact Assessment (DPIA) – beschrijft voorafgaand aan de gegevensverwerking de privacyrisico’s hiervan. Met een PIA wordt op systematische wijze inzichtelijk gemaakt hoe groot de kans is dat de privacy van de betrokken personen van wie de gegevens worden verwerkt, in gevaar komt. Tevens wordt er omschreven waar deze risico’s zich precies voordoen binnen het project en wat de bijbehorende gevolgen zijn. De PIA is dus een soort ‘check’ van de gegevensverwerking, waar vervolgens een rapport uitrolt met de specifieke risico’s en oplossingen.

Adviestool

Even voor de duidelijkheid: het is de bedoeling dat een PIA je aan het denken zet. Het is dus geen ‘toets’ die bepaalt of je het project wel of niet mag uitvoeren. Je moet het zien als een adviestool die de risico’s van jouw project duidelijk in kaart brengt. Het project uitvoeren mag sowieso, maar het uitvoeren van een PIA is per 25 mei 2018 verplicht voor alle bedrijven die met privacygevoelige informatie werken. Dit is bepaald door de Autoriteit Persoonsgegevens (AP). Toch voeren veel bedrijven nu al PIA’s uit, zodat ze straks niet voor verrassingen komen te staan.

Wees er op tijd bij

Dit wordt allemaal vroegtijdig in beeld gebracht; vaak al bij het bouwen van informatiesystemen of het ontwikkelen van databestanden. Zo kan men veel kosten besparen, aangezien het project – wat privacy betreft – niet meer gewijzigd hoeft te worden. Nu komen we gelijk aan bij de twee hoofddoelen van een PIA: het voorkomen van kostbare aanpassingen en het op tijd stopzetten van een risicovol project. Hoe eerder je een PIA laat uitvoeren, des te meer kosten je bespaart.

De pluspunten van een PIA

Een PIA zorgt sowieso voor een betere kwaliteit van de gegevens, de dienstverlening en de besluitvorming. Daarnaast ontstaat er meer privacybewustzijn binnen een bedrijf en wordt een project beter haalbaar. Ten slotte is het zo dat een bedrijf – als het goed is – minder te maken krijgt met toezicht en handhaving. Het is dus heel slim om een PIA te laten uitvoeren. Ten eerste weten bedrijven zich dan positief te onderscheiden van de concurrentie. Houd in gedachten dat dat nu nog kan, aangezien het uitvoeren van een PIA nog niet verplicht is. Ten tweede kunnen organisaties op deze manier voorbereid zijn op interne en externe controles.

Bewustere keuzes

Dankzij PIA’s kan een organisatie dus bewustere keuzes maken, omdat het veel meer inzicht heeft in de risico’s van projecten. Op deze manier wordt voorkomen dat organisaties in de knel komen door problemen zoals datalekken, informatiewildgroei, illegale gegevensverwerking of databasevervuiling. En dat is precies wat bedrijven willen, aangezien privacy en de bescherming van persoonsgegevens steeds belangrijker wordt binnen organisaties.

Een keurig imago

Als je op dit moment niet zorgvuldig omgaat met data, krijg je een enorme boete. En dit is alleen nog maar de financiële consequentie. De indirecte schade is er óók nog. Dan moet je vooral denken aan reputatieschade en mogelijke claims. Het uitvoeren van een PIA is dus heel efficiënt en bijna noodzakelijk voor een bedrijf, wil het een goed imago overhouden. Veel bedrijven zijn al overtuigd en huren externe bedrijven of mensen in die hen helpen met het uitvoeren van de PIA. Dit is namelijk een ingewikkeld proces waar heel veel tijd én geld in gaat zitten. Je wilt het uitvoeren van een PIA-project uiteraard snel en efficiënt laten verlopen. Over het algemeen geldt dat bedrijven niet verplicht zijn om een PIA te publiceren, maar dit is zeker aan te raden als je wilt dat mensen nog vertrouwen hebben in jouw organisatie.

Want to know more?

We organiseren regelmatig Kennis Bytes. Tijdens deze externe kennisdelingen wordt een datagerelateerd onderwerp uitgebreid behandeld door één van onze data scientists. Elkaar inspireren, jezelf blijven ontwikkelen en altijd nét iets meer willen weten. Daar draait het om!

Wil je meer weten over onze Kennis Bytes en erachter komen wanneer de volgende sessie wordt georganiseerd? Kijk dan snel hier: https://www.tottadatalab.nl/2018/06/19/alles-weten-kennis-bytes/

Posted on 27 september 2017

Share the Story

Back to Top