Dossier PIA

Een Privacy Impact Assessment (PIA) is een instrument om de privacyrisico’s van een gegevensverwerking in kaart te brengen. Op basis van de uitkomst van een PIA kunnen verbetermaatregelen worden genomen die de privacyrisico’s verkleinen. De AVG stelt het uitvoeren van een PIA verplicht als een gegevensverwerking een hoog privacyrisico oplevert voor natuurlijke personen. 

De verwerkingsverantwoordelijke moet ervoor zorgen dat er een PIA wordt uitgevoerd. U bent als gemeente onder de AVG eindverantwoordelijke voor het uitvoeren van een PIA. Het Inlichtingenbureau, VECOZO en de IBD verstrekken u hieronder informatie waarmee u kunt beoordelen wat het effect is van uw verwerkingsactiviteiten op de bescherming van persoonsgegevens.

Advies ISD keten

Gemeenten moeten als verantwoordelijke onder meer een ‘Privacy impact assessment’ (PIA) uitvoeren wanneer de gegevensverwerking een hoog privacyrisico oplevert. Dit moet de verantwoordelijke zelf bepalen. In het geval van de i-Sociaal Domein (ISD) keten is sprake van grootschalige verwerking van bijzondere persoonsgegevens. Op grond hiervan zou dus een PIA uitgevoerd moeten worden.

Bestaande PIA’s blijven gelden

De informatiebeveiligingsdienst (IBD) van de VNG heeft zich over dit vraagstuk uitgelaten en is van mening dat het uitvoeren van een nieuwe PIA in dit geval niet noodzakelijk is. Dit is op basis van verdere toelichting die de werkgroep van Europese privacy toezichthouders (WP29) over het uitvoeren van PIA’s gegeven heeft. De WP29 stelt dat er geen PIA uitgevoerd hoeft te worden als er al eerder een PIA uitgevoerd is op de betreffende verwerking, mits de risico's van de verwerking niet zijn veranderd.

Er zijn bij de totstandkoming van de berichtuitwisseling in deze keten verschillende PIA’s uitgevoerd en sindsdien zijn er geen nieuwe verwerkingen bijgekomen. De situatie is dus niet veranderd en de bestaande PIA’s gelden daarmee onverkort. Zowel het Inlichtingenbureau, VECOZO als de IBD hebben samen voor u de benodigde informatie verzameld en beschikbaar gesteld en verwijzen in dit kader naar de documentenlijst onderaan deze pagina.

Advies SUWI keten

Voor de verwerking van persoonsgegevens in het kader van de SUWI keten geldt eveneens dat u als verwerkingsverantwoordelijke gemeente zelf moet bepalen of u een PIA uitvoert. Het Inlichtingenbureau ondersteunt u bij dit proces in de rol van verwerker. Het Inlichtingenbureau stelt concept-PIA’s op voor de eigen informatiediensten. Deze concept-PIA’s kunnen bij het uitvoeren van uw eigen PIA’s door u als verwerkingsverantwoordelijke worden gebruikt. 

Het Inlichtingenbureau streeft ernaar de komende jaren voor alle informatiediensten en -producten een concept-PIA beschikbaar te hebben. Deze concept-PIA’s zijn via de Servicedesk opvraagbaar.