Privacybescherming staat in toenemende mate in de belangstelling. Los van de Wet Bescherming Persoonsgegevens en de vereisten die daaruit voortvloeien, is het zorgvuldig omgaan met persoonsgegevens voor een groeiend aantal bedrijven ook een onderwerp waarmee zij zich in positieve zin willen onderscheiden van concurrerende bedrijven. Zij zien privacybescherming als ‘unique selling point’. Ook voor de rijksoverheid, de lagere overheden en de overige publieke sector (zoals onderwijs- en zorginstellingen) is het van belang om zorgvuldig om te gaan met persoonsgegevens.
Voor het meewegen van privacybelangen in de besluitvorming over de ontwikkeling van producten, diensten of ook wetgeving is het van groot belang dat dit in een vroegtijdig stadium gebeurt. Als de risico’s voor inbreuken op de privacy pas worden onderkend als de ontwikkeling van het product, dienst of wetsvoorstel al in een vergevorderd stadium verkeert, is de kans immers groot dat noodzakelijke aanpassingen zeer tijdrovend en kostbaar zijn. Om organisaties een instrument te bieden om privacyrisico’s in een vroeg stadium op een gestructureerde en heldere manier in beeld te kunnen brengen, voert NewTeam PIA’s uit, ook wel Privacy Impact Assessments genoemd. De PIA stimuleert organisaties om proactief na te denken over vragen als:
- Wat is de impact van het beoogde project op de privacy van de betrokkenen?
- Wat zijn de risico’s voor de betrokkenen en voor de organisatie?
- Is een aanpak die minder gevolgen heeft voor de privacy ook mogelijk, gegeven de doelstellingen van het project?
Na het uitvoeren van de PIA kan de ‘verantwoordelijke’ gerichte opdrachten geven aan degene die het product of de dienst verder ontwikkelt opdat maatwerk kan worden geleverd en wordt voorkomen dat in een later stadium kostbare aanpassingen nodig zijn.
Wat is privacy?
Privacy is een veel omvattend begrip. Kortweg wordt privacy ook wel omschreven als het recht om met rust te worden gelaten. Het begrip privacy bevat onderdelen (dimensies) waarmee invulling aan de persoonlijke levenssfeer kan worden gegeven. Voorbeelden van deze dimensies van privacy zijn het eigen lichaam, de eigen woning, het familie- en gezinsleven, vertrouwelijke communicatie en persoonsgegevens. De bescherming van deze dimensies zijn grondrechten.
In deze PIA heeft privacy vooral betrekking op de bescherming van persoonsgegevens. De bescherming van persoonsgegevens kan omschreven worden als het recht op eerlijke, veilige en betrouwbare informatieverwerking. Leidend in het denken en praten over bescherming van persoonsgegevens zijn de privacyprincipes van de OECD/OESO. Deze principes bieden houvast voor het op een goede manier verwerken van persoonsgegevens. Momenteel regelt de EU Richtlijn 95/46/EG de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. In Nederland is deze Richtlijn geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp). Naar verwachting zal binnenkort de nieuwe EU privacyverordening in werking treden.
Organisaties dienen er rekening mee te houden dat de nieuwe verordening consequenties zal hebben die tot heroverweging van de beheersmaatregelen met betrekking tot privacy moeten leiden. In de NOREA-publicatie over de nieuwe Europese verordening worden de kernelementen van deze verordening beschreven.
Wat is een PIA?
PIA staat voor Privacy Impact Assessment. De PIA legt in de eerste plaats de risico’s bloot van projecten die te maken hebben met privacy en dragen bij aan het vermijden of verminderen van deze privacyrisico’s. Op basis van de antwoorden van de PIA wordt op systematische wijze inzichtelijk gemaakt of er een kans is dat de privacy van betrokkene wordt geschaad, hoe hoog deze is en op welke gebieden dit is.
De PIA doet dit door op gestructureerde wijze:
- de mogelijk (negatieve) gevolgen van het gebruik van persoonsgegevens voor de betrokken personen en organisaties in kaart te brengen; en
- de risico’s voor de betrokken personen en organisaties zo veel mogelijk te lokaliseren.
Op basis van de uitkomsten van de PIA kunt u gericht acties ondernemen om deze risico’s te verminderen.
De PIA is (vooralsnog) geen verplicht instrument, maar naar ons inzicht een onmisbaar hulpmiddel voor organisaties om de privacyimpact van hun projecten te evalueren. Het verdient sterke aanbeveling de PIA onderdeel te laten uitmaken van de privacystrategie en het kwaliteitssysteem van een organisatie alsmede van de kwaliteitsbeheersing van projecten waardoor verwerking van persoonsgegevens tot stand komt. Door het gebruik van de PIA kan bescherming van persoonsgegevens op een gestructureerde manier onderdeel uitmaken van de belangenafweging en besluitvorming over een project.
Wat levert een PIA op?
De PIA kent een aantal belangrijke doelen. Het belangrijkste doel is:
1. Het voorkomen van kostbare aanpassingen in processen, herontwerp van systemen of stopzetten van een project door vroegtijdig inzicht in de belangrijkste privacyrisico’s.
Daarnaast kunnen nog de volgende doelen worden onderscheiden:
2. Het verminderen van de gevolgen van toezicht en handhaving.
3. Het verbeteren van de kwaliteit van gegevens.
4. Het verbeteren van de dienstverlening.
5. Het verbeteren van de besluitvorming.
6. Het verhogen van het privacybewustzijn binnen een organisatie.
7. Het verbeteren van de haalbaarheid van een project.
8. Het verstevigen van het vertrouwen van de klanten, werknemers of burgers in de wijze waarop
persoonsgegevens worden verwerkt en privacy wordt gerespecteerd.
9. Het verbeteren van de communicatie over privacy en de bescherming van persoonsgegevens.