PrivacyBlox over de AVG [16/20]: weet wat je doet bij risicovolle verwerkingen; De PIA
22 februari 2018 - Arnoud Engelfriet
Een privacy impact assessment heeft als doel om bij “verwerkingen met verhoogd risico” die risico’s in kaart te brengen en maatregelen te identificeren waarmee deze risico’s te beperken zijn. (De Nederlandse naam gegevensbeschermingseffectbeoordeling mag u meteen weer vergeten.) De wet stelt uitvoering van een PIA verplicht om te voorkomen dat die verhoogde risico’s zich voordoen.
Er is geen specifiek wettelijk criterium voor wat een verhoogd risico inhoudt, maar u kunt bijvoorbeeld denken aan grootschalige geautomatiseerde besluitvorming, grootschalige verwerking van bijzondere persoonsgegevens en grootschalig monitoren van het publiek. Ook in situaties waarin mensen moeilijker hun rechten kunnen halen, of wanneer u met zeer innovatieve technologie (zoals big data of kunstmatige intelligentie) gaat werken, is een PIA verplicht.
De PIA is in feite een drietrapsraket. Bij iedere verwerking moet u een eerste beoordeling maken van de risico’s die daarbij kunnen bestaan. U noteert dit in het verwerkingsregister bij de verwerking. Volgt uit de eerste beoordeling dat er waarschijnlijk een hoog risico kleeft aan een verwerking, dan moet daarop de volledige PIA worden uitgevoerd. Hierin benoemt u elk risico en de mogelijkheden om dit in te perken. Als daaruit blijkt dat het hoge risico niet kan worden beperkt met redelijke middelen, dan moet de toezichthouder eerst om toestemming worden gevraagd.
Stel een creditcardmaatschappij wil fraude bij haar betalingstransacties detecteren met een big data-analyse waarbij automatisch verdachte transacties worden geïdentificeerd en geweigerd. Dit is een innovatieve technologie met mogelijk grote impact, dus een PIA is hierop verplicht. Het risico zit hem vooral in het ten onrechte een betaling geweigerd krijgen, dus de maatregelen moeten dit beperken. Een optie kan dan zijn dat in plaats van weigering, mensen gevraagd wordt die transactie te bevestigen met een sms-bericht. Als dat met redelijke middelen in te voeren is, dan is dat de oplossing en kan de maatregel alsnog worden toegepast.
Een ander risico is dat mensen niet kunnen zien waarom de transactie wordt geweigerd. Enkel “de computer vindt deze transactie verdacht” is namelijk niet genoeg. Het big data-systeem moet dus in staat zijn om zogeheten “white box” antwoorden te geven, met onderbouwing en de relevante factoren (u bestelde nooit bij deze winkel, vijf minuten eerder was u in een restaurant en de transactie ging vele malen sneller dan u normaal handelt). Als dat niet eenvoudig kan, dan zal toestemming moeten worden gevraagd.
De makkelijkste manier om een PIA uit te voeren is middels de overzichtelijke tooling van Privacyblox.nl. Toets met een wizard of een PIA nodig is, en voer deze uit met duidelijke sjablonen. Met PrivacyBlox genereert u ook diverse privacydocumenten en adviezen op maat. Ideaal voor zowel privacy officers als professionals zonder kennis of training in privacy. Probeer het nu!