Het doel van dit model is
om de bescherming van persoonsgegevens op een gestructureerde manier
onderdeel te laten zijn van de belangenafweging en besluitvorming over
voorgenomen gegevensverwerkingen binnen de Rijksdienst. Ook decentrale
overheden kunnen hun voordeel doen met dit nieuwe model.

Wat is een PIA?

Een PIA legt in de eerste plaats de privacyrisico’s bloot van nieuwe
(projecten en initiatieven) of bestaande verwerkingen van
persoonsgegevens en draagt bij aan het vermijden of verminderen van deze
privacyrisico’s. Door middel van een PIA wordt op systematische wijze
inzichtelijk gemaakt hoe groot de kans is dat de privacy van de
betrokkenen wordt geschaad, waar deze risico’s zich voordoen en welke
gevolgen daaraan voor hen verbonden zijn. Een PIA is dus een
risicoanalyse-instrument (en geen “compliance toets”), dat een
praktische en bruikbare uitkomst dient op te leveren.

Een PIA bevat tenminste de volgende elementen:

– een systematische beschrijving van de beoogde verwerkingen en de
verwerkingsdoeleinden, waaronder – in voorkomend geval – de
gerechtvaardigde belangen die door de verwerkingsverantwoordelijke
worden behartigd;

– een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;

– een beoordeling van de risico’s voor de rechten en vrijheden van de betrokkenen; en

– de beoogde maatregelen om de risico’s aan te pakken, waaronder
waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van
persoonsgegevens te garanderen en om aan te tonen dat aan de AVG is
voldaan, met inachtneming van de rechten en gerechtvaardigde belangen
van de betrokkenen en andere personen in kwestie.

Wat levert een PIA op?

Het doel van een PIA is om al in een vroeg stadium bij het ontwerpen
van een project (beleidsvoornemen, product of dienst) zowel technisch
als organisatorisch een zorgvuldige omgang met persoonsgegevens af te
dwingen. De inzichten die een PIA oplevert kunnen vervolgens worden
gebruikt om het project verder te ontwikkelen. Na het uitvoeren van de
PIA kan de verantwoordelijke zorgen dat maatwerk wordt geleverd, zodat
in een later stadium geen kostbare aanpassingen of beëindiging van het
project nodig zijn. Dit leidt als het goed is tot projecten waarin een
zorgvuldige en rechtmatige verwerking van persoonsgegevens zijn
gewaarborgd.

Wanneer verricht je een PIA?

Een PIA dient voorafgaand aan een nieuwe verwerkingen van
persoonsgegevens te worden verricht als daarbij – kort gezegd – een
nieuwe technologie wordt gebruikt of de verwerking een hoog risico
inhoudt voor betrokkenen. Daarvan is in ieder geval sprake als
persoonsgegevens geautomatiseerd worden verwerkt in het kader van
“profiling”, grootschalige verwerking van bijzondere categorieën van
persoonsgegevens of de stelselmatige en grootschalige monitoring van
openbare ruimten.

Een PIA kan het beste in een vroeg stadium van een project worden
gestart. Vervolgens kan de uitwerking van de PIA aansluiten bij de
verdere uitwerking van het project. Op die manier helpt de PIA om het
privacybelang structureel mee te nemen in het project. De PIA wordt
daarmee een belangrijk onderdeel van het ontwerpproces.

Ook aanpassingen of wijzigingen van bestaande verwerkingen van
persoonsgegevens rechtvaardigen een PIA. Ook wanneer de omstandigheden
van een project tijdens de looptijd veranderen, is het raadzaam de PIA
te herhalen en/of te evalueren bij de afsluiting van een project.

Bron: Binnenlandsbestuur.nl