Hoe moet een PIA worden uitgevoerd?
Er zijn verschillende methodes om een privacy impact assessment (PIA) uit te voeren. U kunt er zelf een kiezen, als u maar aan de basisvereisten voldoet zoals die in de AVG staan beschreven. De PIA moet in ieder geval het volgende bevatten:
- Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan. Als u zich beroept op een gerechtvaardigd belang als grondslag voor de verwerking, dan moet u dit ook opnemen in de beschrijving;
- Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen. Dat houdt in: is het verwerken van persoonsgegevens op deze manier noodzakelijk op uw doel te bereiken? En is de inbreuk op de privacy van de betrokkenen (de mensen van wie u gegevens verwerkt) niet onevenredig in verhouding tot dit doel?
- Een beoordeling van de privacyrisico's voor de betrokkenen;
- De beoogde maatregelen om (1) de risico's aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat u aan de AVG voldoet.
Pro-abonnees downloaden gratis het Ebook met 167 vragen en antwoorden over Privacy-wetgeving / AVG-GDPR.