Een Privacy Impact Assessment oftewel een gegevensbeschermingseffectbeoordeling, is een wettelijke verplichting vanuit de Algemene Verordening Gegevensbescherming (AVG). Het uitvoeren van de Privacy Impact Assessment is verplicht voor organisaties en rijksoverheden die op grote schaal persoonsgegevens verwerken.
Een gegevensbeschermingseffectbeoordeling is ook verplicht bij een verandering in de verwerking van persoonsgegevens, zoals uitbesteding, verandering van hardware of software. In dit geval zal de verantwoordelijke verplicht zijn de gegevensbeschermingseffectbeoordeling te updaten. Wanneer er geen Privacy Impact Assessment of actuele PIA aanwezig is, kan een boete opgelegd worden van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Een adviseur Informatiebeveiliging voert het Privacy Impact Assessment uit en monitort bij welke nieuwe technologieën de PIA geüpdatet moet worden. Vooraf wordt alle noodzakelijk informatie verzameld, zoals het privacybeleid, overzicht en doel van gegevensverwerkingen en de bedrijfsprocessen waarin de persoonsgegevens worden verwerkt geanalyseerd. De gegevensbeschermingseffectbeoordeling geeft een objectief beeld van belangrijke risicogebieden.
Gezamenlijk wordt de omvang, impact en kans van optreden ingeschat. Op basis hiervan kan gekozen worden voor het accepteren, verminderen of het vermijden van risico’s. Vervolgens bieden wij concrete adviezen voor dataminimalisatie, anonimiseren, technische en organisatorische maatregelen.
Aan het eind van het traject wordt een PIA rapport opgeleverd. Op basis van dit PIA rapport kunnen noodzakelijke beslissingen worden genomen.
Om er zeker van te zijn dat je voldoet aan de AVG wetgeving kun je gebruik maken van de Functionaris Gegevensbescherming van Kader.