Privacy: Nog 6 maanden voorbereidingstijd voor de AVG. Aan de slag met de PIA

Gemeenten hebben vanaf 25 november 2017 nog 6 maanden voorbereidingstijd voor de Algemene Verordening Gegevensbescherming (AVG) van kracht is. VNG en KING bieden gemeenten een ondersteuningspakket om gemeenten gericht te ondersteunen bij de voorbereidingen. Tot en met mei 2018 ontvangen gemeenten iedere maand via de website van KING gerichte acties die ze kunnen ondernemen om zeker te stellen dat de organisatie klaar is voor de AVG.

Actie van de maand: Bepaal met behulp van de baselinetoets wanneer u een PIA uitvoert voor een verwerking?

Wanneer u verantwoordelijk bent voor een verwerking (volgens de AVG “verwerkingsverantwoordelijke”) moet u vanaf 25 mei 2018 een PIA uitvoeren wanneer uw gegevensverwerking waarschijnlijk een hoog privacyrisico met zich mee brengt. U kunt nu alvast inschatten of u straks PIA’s moet gaan uitvoeren met behulp van de laatste versie van de Baselinetoets BIG van de IBD, onder het tabblad “Privacy”.

Onder het tabblad “Privacy” vindt u een lijst van 10 criteria die zijn opgesteld door de werkgroep van Europese privacytoezichthouders (WP29). Door deze lijst in te vullen ziet u in het document direct of een PIA noodzakelijk is. In de regel is dit als u aan 2 of meer van de 10 criteria voldoet. U kunt deze lijst dus zien als een soort pré-PIA. Doe dus om onnodig werk te voorkomen altijd eerst de pré-PIA om te zien of een volledige PIA wel noodzakelijk is voor de betreffende verwerking. Ook belangrijk: leg vast wat u doet!

Tip van de maand: Doe het niet alleen, en gebruik de beschikbare materialen.

Betrek uw CISO, FG, en Privacy Officers (PO’s) bij het PIA-proces

Uw CISO is beheerder van de Baselinetoets BIG, en heeft dit document met daarin de pré-PIA onder het tabblad “Privacy” dus beschikbaar. Daarnaast raakt privacy natuurlijk aan informatiebescherming, dus ga hierover in gesprek.

Uw FG is het aanspreekpunt binnen de organisatie als het gaat om PIA’s, en heeft als taak het geven van advies met betrekking tot de PIA en het toezien of de uitvoering daarvan in overeenstemming is met de AVG. Dit betekent overigens niet dat de FG alle PIA’s zelf uit moet voeren. De FG kan hiervoor bijvoorbeeld ook een beroep doen op aangestelde PO’s.

Gebruik de beschikbare materialen

Als het goed is heeft u straks met het register van verwerkingen een duidelijk en compleet overzicht van uw verwerkingen. Het register heeft ook een aparte kolom voor de PIA. U kunt zo in het register systematisch uw lijst met verwerkingen doorlopen en bijhouden voor welke verwerkingen een PIA nog noodzakelijk is, voor welke dit al gedaan is, en voor welke het niet hoeft. Een deels ingevulde en bewerkbare versie van dit register kunt u opvragen via privacy@kinggemeenten.nl of vinden op de IBD-community.

Daarnaast is er zoals hierboven meerdere malen genoemd het tabblad “Privacy” in de Baselinetoets BIG van de IBG. Weet u niet zeker of u een PIA moet doen? Vul dit blad in en u ziet direct in het document of een PIA noodzakelijk is.

Veelgestelde vragen over dit onderwerp

Wanneer doe ik een PIA?

Om te bepalen of een PIA noodzakelijk is kunt u gebruik maken van de Baselinetoets BIG van de IBD.

Hoe doe ik een PIA?

Op onze website vindt u een vragenlijst PIA, met daarbij een toelichting PIA en een template voor de verslaglegging. Hierin staat uitgebreid omschreven hoe u een PIA kunt uitvoeren.

Wilt u deze tips per e-mail ontvangen? Stuur dan een e-mail aan privacy@KINGGemeenten.nl.

FAQ
Wanneer doe ik een PIA?

Om te bepalen of een PIA noodzakelijk is kunt u gebruik maken van de Baselinetoets BIG van de IBD.

De Baselinetoets BIG is bijgewerkt naar versie 1.3. Deze versie is in lijn gebracht met de AVG. Het tabblad “privacy” van de baselinetoets helpt u te bepalen of een Data protection impact assessment(DPIA) noodzakelijk is. U moet vanaf 25 mei 2018 een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks DPIA’s moet uitvoeren en hoe u dit dan gaat aanpakken.

Wanneer is een verwerkersovereenkomst nodig?

Gemeenten hebben steeds vaker (een deel van) hun persoonsgegevens buiten de deur staan bij een derde partij of maken gebruik van derden die in opdracht van deze gemeenten persoonsgegevens verwerken. Een verwerkersovereenkomst tussen twee partijen is nodig indien een verantwoordelijke partij (gemeente) persoonsgegevens laat verwerken door een verwerker. Elke keer dat een verantwoordelijke partij het verwerken van persoonsgegevens ‘uitbesteedt’ is een schriftelijke overeenkomst noodzakelijk. Voor meer informatie zie de ‘factsheet verwerkersovereenkomsten’.

Wanneer ben ik een verwerkersverantwoordelijke?

De verwerkingsverantwoordelijke is de natuurlijke persoon of rechtspersoon (een bedrijf, een stichting, een overheidsorgaan etc.) die alleen of samen met anderen het doel en de middelen vaststelt voor de verwerking. Om te bepalen wie verantwoordelijk is voor een verwerking is het antwoord op de onderstaande vraag doorslaggevend:
Waarom vindt deze verwerking plaats en wie heeft het initiatief daartoe genomen?
Wanneer u degene bent die bepaalt welke persoonsgegevens worden verzameld, voor welk doel dit gebeurt en de manier waarop dit plaatsvindt (met welke middelen), dan bent u de verwerkingsverantwoordelijke. Voorbeelden van verschillende soorten verwerkersverantwoordelijken kunt u vinden in de ‘factsheet verwerkersovereenkomsten’.

Bekijk meer gerelateerde FAQ