Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

3.12 (D)PIA

De Gegevensbeschermingseffectbeoordeling ofwel de PIA

ref: AVG art. 35 Gegevensbeschermingseffectbeoordeling

Wilt u privacy-risico’s op een gestructureerde en heldere manier in kaart brengen? Dan kunt u een Privacy Impact Assessment (PIA) (laten) uitvoeren. Een PIA stimuleert u om op tijd na te denken over vragen als:

  1. wat de impact is van het beoogde project op de privacy van de Betrokkenen (de mensen van wie u persoonsgegevens verwerkt)?
  2. wat de risico’s zijn voor de betrokkenen en voor de organisatie?;
  3. of er, gegeven de doelstellingen, ook een aanpak mogelijk is die minder gevolgen heeft voor de privacy.

Er zijn vele modellen van PIA’s beschikbaar, varierend van eenvoudig tot uitgebreid. Ons inziens is een uitgebreide PIA meer passend bij de eisen vanuit de ISO 27001 en/of NEN 7510 en bestemd voor software leveranciers. Voor VV die gebruik maken van software applicaties hebben wij een veréénvoudigde  analyse uitgewerkt.

Opzet van de PIA

In een PIA zijn er 3 parameters van belang: het risico, de kans dat een lek optreedt, het gevolg, de impact die dat heeft en de aanvaardbaarheid op basis van risico en impact. 

De organisatie moet vooraf zelf de grenzen van deze parameters vaststellen.

De Kans: hoe groot is de kans dat er een lek voorkomt?

  1. zeer onwaarschijnlijk
  2. onwaarschijnlijk
  3. mogelijk
  4. waarschijnlijk
  5. zeer waarschijnlijk

De Impact: wat is de schade als het risisco is opgetreden?

  1. Laag
  2. Middel
  3. Hoog

De Aanvaardbaarheid van het risico kan worden geclassificeerd met de keuzes:

  1. Aanvaardbaar, wat betekent dat er geen stappen noodzakelijk zijn. Er wordt wel duidelijk vastgelegd wat de gronden zijn voor deze keuze,
  2. Onaanvaardbaar, wat betekent dat moet worden bepaald of er maatregelen nodig zijn. 

 

Impact:

Kans:

Laag

Middel

Hoog

Zeer onwaarschijnlijk 

     

Onwaarschijnlijk

      

Mogelijk

     

Waarschijnlijk

     

Zeer waarschijnlijk

     

 

De PIA-procedure

Voor iedere verwerking/applicatie wordt in bovenstaande tabel te worden aangegeven of risico en impact aanvaardbaar zijn.
Bijvoorbeeld, als de Kans op een inbreuk "Waarschijnlijk" is en de Impact "Laag" dan behoeft er geen actie ondernomen te worden. Binnen  B.v. onder Impact "Laag" wordt verstaan dat alleen de namen van minder dan 100 personen "gelekt" zijn.  En dat deze personen leveranciers zijn wiens namen al op div. media (LinkedIn en eigen Website) te vinden zijn. 

Het team die deze inschatting maakt moet  tenminste de volgende leden bevatten:

  • een ICT security expert,
  • de VV,
  • indien mogelijk de V.

Per inschatting wordt vastgelegd:

  1. datum inschatting,
  2. aanwezige teamleden,
  3. aangenomen risico,
  4. aangenomen impact,
  5. de aanvaardbaarheid,
  6. de motivatie van de keuze,
  7. indien "aanvaardbaar": de datum dat volgende PIA wordt uitgevoerd,
  8. indien "niet aanvaardbaar": beschrijving van de te nemen maatregelen.

Noot:
Het Register van de te onderzoeken verwerking/applicatie moet compleet en beschikbaar zijn.
In veel voorbeelden (zie o.a. Bronvermeldingen hieronder) wordt aangegeven dat in de PIA's Doelen, Grondslagen, Bewaartermijnen, Categorieën van Betrokkenen etc. moet bevatten. Dit is natuurlijk identiek aan hetgeen in een Register is  vastgelegd. Het is aan te bevelen om te overwegen om in het handboek onder de register de e.v. aanvullende gegevens m.b.t. PIA's  op te nemen. 

 

Bronvermeldingen en voorbeelden:

Voor de AVG zie 

Voor de AP zie:

Vanuit de werkgroep 29 zie:

Vanuit PO/VO scholen:

Vanuit Sambo (MBO scholen):

 

Vorige pagina        Index        Volgende pagina

Afdrukken