Privacy Impact Assessment (PIA)

Een Privacy Impact Assessment (PIA) is een onderzoek dat zich richt op de mogelijke impact op de privacy in gevallen waarin verwerkingen van persoonsgegevens betrokken zijn. Vanaf 1 september 2013 is het uitvoeren van een PIA voor de Rijksdienst verplicht. In het buitenland bestaat al een langere historie van het uitvoeren van PIA’s en wordt hier ook op gehandhaafd. Vanuit het oogpunt van het beperken van aansprakelijkheid is het uitvoeren van PIA’s zeer aan te raden. In het kader van het de wet meldplicht datalekken is het verstandig regelmatig PIA’s uit te voeren. In het voorstel voor de Europese Algemene verordening gegevensbescherming wordt in bepaalde gevallen het uitvoeren van een PIA expliciet verplicht gesteld. Maar bovenal zijn de uitkomsten van een PIA richtinggevend voor het treffen van passende procedures en maatregelen die de privacy en veiligheid van gegevensverwerking borgen.

Aanleidingen voor uitvoeren PIA

Het uitvoeren van een PIA is niet een eenmalige aangelegenheid. Steeds als er veranderingen in het product- en dienstportfolio zijn, andere afzetkanalen worden gekozen, organisatieonderdelen worden samengevoegd of worden ontvlochten en ondersteunende systemen worden aangepast is het verstandig een PIA uit te voeren.

Aanpak

De aanpak van Duthler Associates is gebaseerd op het Policy Framework, op inzichten en ervaringen uit het buitenland, de Handreiking PIA van het NOREA en het Toetsmodel PIA Rijksdienst. Duthler Associates volgt (internationale) ontwikkelingen rondom PIA’s op de voet. Ook participeert Duthler Associates in verschillende samenwerkingsverbanden. Een voorbeeld daarvan is de Kennisgroep Privacy Audits van de NOREA, waar Duthler Associates actief lid van is. Bij het uitvoeren van PIA’s hanteert Duthler Associates de ‘Code of Ethics’ van NOREA. De context waarbinnen het assessment wordt uitgevoerd is bepalend voor de scope en reikwijdte van de voorstellen voor verbetering van de beheersmaatregelen. Verder zijn het bedrijfstype en de aard en omvang van de activiteiten van de organisatie ook van belang voor de uit te voeren PIA. 

Referenties

  • Duthler Associates heeft verschillende soorten PIA’s uitgevoerd. Bijvoorbeeld voor een GGZ instelling zijn meerder PIA’s uitgevoerd. In samenspraak met de betrokken instelling is bekeken aan welke soort PIA’s in eerste instantie behoefte bestond. Zo is onder meer een PIA uitgevoerd op een nieuw aan te schaffen informatiesysteem. Door het opgeleverde rapport van bevindingen is de GGZ instelling in staat geweest om in te zien in welke mate het potentiële zorginformatiesysteem voldoet aan de privacy wet- en regelgeving.
  • Ook zijn PIA's uitgevoerd in het kader van het vormen van beleid en formuleren van (voorstellen) voor wetgeving. Voor een terugblik op het uitvoeren van een dergelijke PIA, waarbij gebruik is gemaakt van het PIA model Rijksdienst zie deze terugblik. De door Duthler Associates uitgevoerde PIA "Gegevensuitwisseling en gegevensbescherming rond de Wmo en AWBZ" is ook als bijlage bij het wetsvoorstel (Wet maatschappelijke ondersteuning 2015, Kamerstuk 33841 nr. 3) verstuurd.

Terug

Contact

Duthler Associates is graag bereid de mogelijkheden voor uw organisatie ten aanzien van het instrument PIA met u te verkennen. Voor meer informatie kunt u contact opnemen met drs. André J. Biesheuvel RE RA.