Als een bedrijf met persoonsgegevens gaat werken, moet het voldoen aan verscheidene criteria die zijn omschreven in de Wet bescherming persoonsgegevens. Hieronder valt onder andere een risicoanalyse. Om het voor bedrijven eenvoudiger te maken deze analyse uit te voeren, is hier een model voor gemaakt; een zogeheten Privacy Impact Assessment (PIA). In dit artikel zal worden ingegaan op wie dit model heeft gemaakt en wat bedrijven ermee kunnen.
Zoals in het artikel over de Wet bescherming persoonsgegevens (Wbp) al werd aangegeven, is deze wet gebaseerd op een Europese richtlijn. In zowel de Wbp als deze richtlijn is vastgelegd dat de naleving van de Wbp moet worden gecontroleerd door een nationale toezichthouder. In Nederland is dit het College Bescherming Persoonsgegevens (CBP). Naast deze nationale toezichthouder voorziet de richtlijn in een overkoepelende toezichthouder voor heel Europa. In deze Europese toezichthouder zetelen leden van de nationale toezichthouders van Europa. Omdat de Europese toezichthouder zijn bestaan baseert op artikel 29 van de richtlijn, wordt hij aangeduid met ‘de artikel-29-werkgroep’.
De artikel-29-werkgroep heeft onder andere tot taak uitleg te geven aan begrippen die in de Wbp worden genoemd, of aan de invulling daarvan. In het kader daarvan is de werkgroep aan de slag gegaan met het maken van een toetsingsmodel, dat inzicht geeft in de privacyrisico’s van nieuwe gegevensverwerkingen. Deze tool heeft de naam Privacy Impact Assessment gekregen. Het CPB heeft hierover evenals de Rijksoverheid een uitleg geschreven om bedrijven te helpen bij het invullen van dit model. Sinds juni 2013 wordt een PIA standaard gebruikt als hulpmiddel bij de totstandkoming van nieuwe wetgeving en beleidsstukken.
Nadat het toetsmodel voor een PIA is ontwikkeld, heeft de minister van binnenlandse zaken en koningszaken advies gevraagd aan het CBP. Het CBP heeft een adviestaak gekregen met betrekking tot wetgeving die met de verwerking van persoonsgegevens te maken heeft. Vanuit deze taak heeft het CBP zijn mening gegeven over het concept-toetsmodel zoals dat door de regering is ingediend. Het CPB zei hierover het volgende: “In het voorliggende concept-toetsmodel worden de begrippen “compliance toets” en de “PIA-toets” soms met elkaar verward. Een PIA is geen “compliance toets,” maar een instrument om in een zeer vroegtijdig stadium van de ontwikkeling van nieuwe producten, diensten en beleidsvoornemens aan allen die daarmee doende zijn en aan leidinggevenden de risico’s in relatie tot bescherming persoonsgegevens op overzichtelijke wijze in kaart te brengen. Met die kennis gewapend kan vervolgens de verdere ontwikkeling van het product, de dienst of het beleidsvoornemen ter hand genomen worden en kan de meer juridische “compliance” toets (d.w.z. voldoet het voornemen in uitwerking aan, met name, de Wbp) verricht worden.”
In de PIA worden vragen gesteld die allemaal te maken hebben met de voorwaarden die de Wbp stelt aan de verwerking van persoonsgegevens. Deze voorwaarden zijn al genoemd in het artikel over de Wbp. Om de vragen goed te kunnen beantwoorden, moet degene die verantwoordelijk is voor de gegevensverwerking stilstaan bij alle voorwaarden uit deze wet. De bedoeling is dat de verantwoordelijke zich hierdoor in hoge mate bewust wordt van de gevolgen van de verwerking voor alle betrokkenen. Het zijn allemaal open vragen en er is dus geen goed of fout antwoord. Het invullen van een PIA door de verantwoordelijke geeft dan ook geen zekerheid met betrekking tot de naleving van de voorwaarden, maar is een manier om inzicht in de wet te verwerven.
Als u voor het eerst een PIA invult, is het verstandig om dit te doen samen met iemand die ervaring heeft met de toepassing van de Wbp (dit geldt zeker voor de eerste 3 keren dat u een PIA invult). Hiervoor zijn verschillende mogelijkheden, waarvan een ICT-jurist er eentje is. Als u de vragenlijst samen invult en hier over praat, komen mogelijke risico’s sneller aan het licht en is de kans dat u achteraf problemen krijgt kleiner. Zowel een ontevreden klant als een controle van het CBP kan voor veel problemen zorgen bij een onderneming. Daarom kunt u dergelijke situaties beter voorkomen dan genezen.
Lees ook de andere artikelen van mr. Sophia Sipkens.