Benut kansen, bescherm reputatie: daar draait het om bij de inzet van persoonsgegevens voor organisaties. Met het Privacy Impact Assessment (PIA) heb je als bedrijf een tool in handen om privacy risico's te beheersen. Zo kunt u gecontroleerd uw data inzetten, de privacy van uw klanten beschermen en daarmee uw imago. Bekijk de do's en don'ts over hoe je de PIA op een juiste manier gebruikt, in deze presentatie.
2. Daarom een Privacy Impact Assessment (PIA)
• In kaart brengen risicoprofiel nieuwe technologie
• Hoog risicoprofiel = hoge eisen privacy
bescherming
• Veel persoonsgegevens = risico
• Bijzondere persoonsgegevens (bijv. gezondheid)
= risico
• Gegevens in een land buiten EU = risico
Privacy Impact Assessment
3. Gebruik het stappenplan van de PIA van NOREA
Privacy Impact Assessment
1.
Introductie:
achtergrond en
belang
2.
Proces:
stappen en
aandachtspunten
3.
Vragenlijst:
vragen en
toelichting
4.
Bijlagen:
begrippen en
afkortingen
1
• Bepaal wie de PIA gaat uitvoeren en hoe dit moet gebeuren
2
• Verzamel relevante informatie over het project
3
• Vul de PIA vragenlijst in
4
• Beoordeel de impact en bedenk waar nodig aanvullende maatregelen
5
• Stel het PIA rapport op
6
• Optie: (onafhankelijke) toets op de PIA
4. Onderwerpen van de NOREA-PIA vragenlijst
Privacy Impact Assessment
1.
Introductie:
achtergrond en
belang
2.
Proces:
stappen en
aandachtspunten
3.
Vragenlijst:
vragen en
toelichting
4.
Bijlagen:
begrippen en
afkortingen
Het initiatief / project
De gegevens levenscyclus
Type project Gegevens
Betrokken
partijen
Verzamelen Gebruiken
Bewaren /
Vernietigen
Beveiliging
5. Zo checkt u al uw data en concludeer: bewaren
of vernietigen?
Privacy Impact Assessment
5
6. Voorbeeld uit de vragenlijst
Privacy Impact Assessment
Onderdeel Voorbeeld: koppelingsvraag
Vraag Is een bewaartermijn voor de gegevens vastgesteld?
Extra informatie Houdt hierbij rekening met het doel waarvoor de gegevens
zijn verzameld en vervolgens worden verwerkt en
bedrijfsrichtlijnen en wettelijk vastgestelde bewaartermijnen
zoals bijvoorbeeld in de Archiefwet, belastingwet.
Ja Ga verder.
Nee U loopt een verhoogd risico. Indien gegevens oneindig
bewaard worden wordt het risico dat deze gebruikt worden
door ongeautoriseerde personen hoger. Eveneens brengt het
kosten met zich mee om de gegevens te bewaren (en
onderhouden). U loopt hiermee ook een compliance risico
(zie art. 10 Wbp). U dient gegevens slechts zo lang te
bewaren als nodig is voor het voldoen aan de doelstellingen.
U kunt gegevens na deze periode wel geanonimiseerd
bewaren.
7. De te voorkomen valkuilen bij het uitvoeren van
een PIA
Te laat: “Klaar voor productie, nog even een PIA doen!”
Te smal: “Leuk zo’n PIA, maar scope maar zo smal als mogelijk!”
Te ondiep: “Een stel vragen met Ja of Nee beantwoorden. Klaar!”
Te hoge verwachtingen: “Privacy geregeld? Ja hoor, PIA uitgevoerd!”
Te dom: “Dat kan ik wel in m’n eentje, ik ben toch IT-auditor?”
“A fool with a tool is still a fool
If all you have is a hammer,
everything looks like a nail”
Privacy Impact Assessment
8. De te benutten kwaliteiten: juiste positionering
Privacy Impact Assessment
Enterprise Risk Management
Ontwikkeling
Formeel
juridisch
Kwaliteit en
beveiliging
PbD
PET
PIA
Accountability
Privacy Risk Management
PIA
Operatie
9. Eerste toets…
Durft u van de daken te schreeuwen
wat u met persoonsgegevens doet?
Privacy Impact Assessment
10. Contact
Wilt u de risico’s die uw bedrijf loopt door data-gebruik meten en
beheersen? Neem gerust contact op met onze Privacy-expert voor
meer informatie:
Privacy Impact Assessment
Lydia Faltas
business consultant Privacy
T 020 – 676 3993
M 06 – 5393 5695
E lydiafaltas@balance.nl
www.balance.nl
11. Meer Privacy producten en diensten
Tools: Quick scan, Privacy Impact Assessment (PIA), Website check
Advies: Privacy Legal review, Data breach management
Interim: Data Protection Officer, Privacy Awareness training
Check voor meer informatie:
www.balance.nl/expertise/privacy
Privacy Impact Assessment