De nieuwe Europese privacyverordening (de algemene verordening gegevensbescherming – hierna “de Verordening”) is op 25 mei 2016 in werking getreden. Alle organisaties in zowel de publieke en private sector worden geacht om vanaf die datum hun bedrijfsvoering met de Verordening in overeenstemming te brengen en krijgen daarvoor tot 25 mei 2018 de tijd. Een van de eisen uit de Verordening is dat organisaties die persoonsgegevens willen verwerken onder bepaalde omstandigheden verplicht zijn om een Privacy Impact Assessment (hierna: “PIA”), in het Nederlands ook wel gegevensbeschermingseffectbeoordeling genoemd, uit te voeren.
Wat is een PIA?
Een PIA is een hulpinstrument waarmee organisaties de ontwikkeling van hun producten en diensten de privacyrisico’s op gestructureerde en heldere wijze kunnen analyseren en in kaart kunnen brengen. Door middel van een PIA is het mogelijk om in een vroegtijdig stadium en op hoofdlijnen de aandacht op alle onderdelen van de beoogde verwerking van persoonsgegevens die aandacht en uitwerking behoeven te analyseren. Hierdoor is het mogelijk om inzicht te krijgen in de risico’s van de gegevensverwerking en kunnen tijdig passende maatregelen worden genomen om deze risico’s te verkleinen.
Wanneer ben ik verplicht om een PIA uit te voeren?
Volgens de Verordening dient de verantwoordelijke vóór de gegevensverwerking een PIA uit te voeren, wanneer de kans bestaat dat een soort gegevensverwerking gelet op de aard, de omvang, de context en de doeleinden daarvan een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dit geldt in het bijzonder voor verwerkingen waarbij met name gebruik wordt gemaakt van nieuwe technologieën.
De Verordening noemt drie situaties op waarin de verantwoordelijk straks in ieder geval verplicht is een PIA uit te voeren. Een PIA is met name vereist in de volgende gevallen:
· wanneer sprake is van een systematische en uitvoerige beoordeling van persoonlijke aspecten van personen, waaronder profilering;
· indien op grote schaal bijzondere persoonsgegevens worden verwerkt, zoals medische of strafrechtelijke gegevens. De verwerking van persoonsgegevens mag echter niet als een grootschalige verwerking worden beschouwd als het gaat om de verwerking van persoonsgegevens van patiënten of cliënten door een zorgverlener of door een advocaat. In die gevallen mag een PIA niet verplicht worden gesteld, aldus de Verordening;
· als op grote schaal en systematisch mensen worden gemonitord in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
De Verordening bepaalt in dat verband dat alle nationale toezichthoudende autoriteiten, in Nederland is dat de Autoriteit Persoonsgegevens, samen met elkaar een lijst dienen op te stellen van alle soorten verwerkingen waarbij je verplicht bent om een PIA te verrichten.
Hoe dien ik een PIA uit te voeren?
Wanneer je op basis van het bovenstaande verplicht bent een PIA uit te voeren, dan dien je dit te doen voorafgaand aan de verwerking van de persoonsgegevens. Zo ben je het best in staat om de specifieke waarschijnlijkheid en de ernst van de grote risico’s te beoordelen en kunnen de risico’s voor de rechten en vrijheden van personen het best worden beperkt of voorkomen. De PIA dient op grond van de Verordening ten minste het volgende te bevatten:
· een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
· een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
· een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen; en
· de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.
Wanneer moet ik de Autoriteit Persoonsgegevens raadplegen?
Wanneer een PIA uitwijst dat een bepaalde verwerking van persoonsgegevens gepaard gaat met een hoog risico voor de rechten en vrijheden van personen, en die risico’s kunnen door de verantwoordelijke niet worden beperkt door maatregelen die met het oog op de beschikbare technologie en de uitvoeringskosten redelijk zijn, dient de verantwoordelijke vóór de gegevensverwerking de Autoriteit Persoonsgegevens te raadplegen.
De Autoriteit Persoonsgegevens zal vervolgens, binnen een nader bepaalde termijn, op het verzoek om raadpleging te reageren. Zo heeft de Autoriteit Persoonsgegevens de bevoegdheid om een bepaalde gegevensverwerking te verbieden.
Wanneer moet ik me voorbereiden?
Hoewel 25 mei 2018 nog ver weg lijkt, is het voor organisaties raadzaam om nu alvast te onderzoeken of de huidige (bedrijfs)processen, diensten en producten op bepaalde punten dienen te worden aangepast om te voldoen aan de Verordening. Zo is het bijvoorbeeld aan te bevelen om nu al de vraag te stellen of je straks verplicht bent een PIA uit te voeren.
Een risico dat je loopt als je geen PIA uitvoert is dat je te laat achter privacyproblemen in je bedrijfsvoering, product of dienst komt. Niet alleen riskeert je onderneming reputatieschade, je kunt ook handhaving door de Autoriteit Persoonsgegevens in de vorm van hoge boetes verwachten wanneer je nalaat voldoende maatregelen te nemen om de privacy van je klanten of gebruikers te beschermen. Deze boetes kunnen op grond van de Verordening oplopen tot EUR 10.000.000,- of 2% van de globale jaaromzet van de onderneming als dit bedrag hoger is.