Meer huiswerk AVG: PIA’s
Nu de ingangsdatum van de Algemene verordening gegevensbescherming (AVG) snel nadert, zijn veel organisaties druk bezig om hun meer complexe en risicovolle verwerkingsprocessen van persoonsgegevens aan een PIA (Privacy Impact Assessment) te onderwerpen. Walter van Holst en Dirk Schravendeel zetten praktijkervaringen op een rij.
© CC0 Public Domain
CC0 Public Domain
De verplichting in de AVG voor het uitvoeren van PIA’s (formeel Gegegevenseffectbeoordelingen, GEB’en, genoemd) is van toepassing voor gegevensverwerkingen waarvan bij voorbaat aannemelijk is dat deze een verhoogd risico voor de betrokkenen hebben, vanwege bijvoorbeeld de schaal of de aard van de gegevens. Voorbeelden die in de AVG zelf worden gegeven, zijn de grootschalige verwerking van bijzondere categorieën van persoonsgegevens (gezondheidsgegevens) en strafrechtelijke gegevens, maar ook grootschalige surveillance van de publieke ruimte (cameratoezicht, rekeningrijden).