PrivacyBlox over de AVG [16/20]: weet wat je doet bij risicovolle verwerkingen; De PIA

22 februari 2018

Op 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Bedrijven en instellingen krijgen een hoop nieuwe regels voor de kiezen, met name gericht op bewijslegging. Iedere verwerking moet worden gedocumenteerd in een zogeheten verwerkingsregister. Daarbij moet u inschatten of de verwerking als risicovol gezien kan worden. Is dat het geval, dan mag u deze niet uitvoeren voordat een privacy impact assessment of PIA is uitgevoerd en de daaruit voortvloeiende maatregelen zijn geïmplementeerd.

Een privacy impact assessment heeft als doel om bij “verwerkingen met verhoogd risico” die risico’s in kaart te brengen en maatregelen te identificeren waarmee deze risico’s te beperken zijn. (De Nederlandse naam gegevensbeschermingseffectbeoordeling mag u meteen weer vergeten.) De wet stelt uitvoering van een PIA verplicht om te voorkomen dat die verhoogde risico’s zich voordoen.

Er is geen specifiek wettelijk criterium voor wat een verhoogd risico inhoudt, maar u kunt bijvoorbeeld denken aan grootschalige geautomatiseerde besluitvorming, grootschalige verwerking van bijzondere persoonsgegevens en grootschalig monitoren van het publiek. Ook in situaties waarin mensen moeilijker hun rechten kunnen halen, of wanneer u met zeer innovatieve technologie (zoals big data of kunstmatige intelligentie) gaat werken, is een PIA verplicht.

De PIA is in feite een drietrapsraket. Bij iedere verwerking moet u een eerste beoordeling maken van de risico’s die daarbij kunnen bestaan. U noteert dit in het verwerkingsregister bij de verwerking. Volgt uit de eerste beoordeling dat er waarschijnlijk een hoog risico kleeft aan een verwerking, dan moet daarop de volledige PIA worden uitgevoerd. Hierin benoemt u elk risico en de mogelijkheden om dit in te perken. Als daaruit blijkt dat het hoge risico niet kan worden beperkt met redelijke middelen, dan moet de toezichthouder eerst om toestemming worden gevraagd.

Stel een creditcardmaatschappij wil fraude bij haar betalingstransacties detecteren met een big data-analyse waarbij automatisch verdachte transacties worden geïdentificeerd en geweigerd. Dit is een innovatieve technologie met mogelijk grote impact, dus een PIA is hierop verplicht. Het risico zit hem vooral in het ten onrechte een betaling geweigerd krijgen, dus de maatregelen moeten dit beperken. Een optie kan dan zijn dat in plaats van weigering, mensen gevraagd wordt die transactie te bevestigen met een sms-bericht. Als dat met redelijke middelen in te voeren is, dan is dat de oplossing en kan de maatregel alsnog worden toegepast.

Een ander risico is dat mensen niet kunnen zien waarom de transactie wordt geweigerd. Enkel “de computer vindt deze transactie verdacht” is namelijk niet genoeg. Het big data-systeem moet dus in staat zijn om zogeheten “white box” antwoorden te geven, met onderbouwing en de relevante factoren (u bestelde nooit bij deze winkel, vijf minuten eerder was u in een restaurant en de transactie ging vele malen sneller dan u normaal handelt). Als dat niet eenvoudig kan, dan zal toestemming moeten worden gevraagd. 

De makkelijkste manier om een PIA uit te voeren is middels de overzichtelijke tooling van Privacyblox.nl. Toets met een wizard of een PIA nodig is, en voer deze uit met duidelijke sjablonen. Met PrivacyBlox genereert u ook diverse privacydocumenten en adviezen op maat. Ideaal voor zowel privacy officers als professionals zonder kennis of training in privacy. Probeer het nu!

MEER
LEZEN?

privacywetgeving

Voldoen aan privacywetgeving: het levert je organisatie voordelen op

Uit onderzoek blijkt namelijk dat het voldoen aan de privacywetgeving ook goed is voor je business. Door de juiste privacymaatregelen te treffen, ervaren organisaties voordelen, zoals: minder datalekken en minder verkoopvertragingen.
Lees meer

Met deze truc stel je ongemerkt inkoopvoorwaarden buiten werking

Wie met grotere bedrijven zaken doet, heeft ze vast al eens langs gehad: de inkoopvoorwaarden (General Purchasing Terms of GPT). Vaak heel lange en dreigend klinkende documenten, waar je dan maar even mee akkoord moet gaan anders geen inkooporder voor jou. Erg vervelend, want als je zomaar tekent dan ben je volledig aansprakelijk voor het kleinste foutje of vergissinkje. Er is echter een truc waarmee je het jezelf een stuk eenvoudiger maakt om van lastige inkoopvoorwaarden af te komen.
Lees meer

Zes contracten die iedere (internet)ondernemer moet hebben

Contracten, het liefst wil menig ondernemer er niets mee te maken hebben. Gezeur over kleine lettertjes staat het zakendoen maar in de weg. Toch is het onverstandig om volledig zonder contracten de weg op te gaan, althans als je geen zin hebt in juridische claims en hoge schadevergoedingen. Wees dus voorbereid en zorg dat je deze contracten in je tas (of hippe rugzak) hebt.
Lees meer
Arnoud Engelfriet

Arnoud Engelfriet

Arnoud Engelfriet is kennispartner bij JuriBlox. Hij is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Met zijn informatica-achtergrond richt hij zich graag op complexe technisch/juridisch ICT-vraagstukken en softwarelicenties (met name open source). Zijn website Ius mentis is één van de populairste van Nederland over ICT en recht.