Skip to main content

Handreiking voor het PIA proces.

De uitvoering van een PIA kan bestaan uit de volgende stappen:

  1. Bepaal wie de PIA gaat uitvoeren en hoe dit moet gebeuren
  2. Verzamel en bestudeer relevante informatie over het project.
  3. Vul de PIA vragenlijst in.
  4. Beoordeel de impact en bedenk waar nodig (aanvullende) maatregelen.
  5. Stel het PIA verslag op.
  6. Laat eventueel een (onafhankelijke) toets op de PIA uitvoeren.

Dit deel bevat een handreiking voor het effectief en efficiënt uitvoeren van een PIA. Afhankelijk van de omstandigheden waarin de PIA wordt uitgevoerd kan op het onderstaande stappenplan worden gevarieerd. U krijgt antwoorden op vragen als Uit welke stappen bestaat het PIA proces? Wie kan ik betrekken bij de PIA? Wat zijn succes- en faalfactoren? Wat zijn de stappen in een PIA proces? De uitvoering van een PIA kan bestaan uit de volgende stappen: Deze stappen worden hierna kort toegelicht.

Bepaal wie de PIA gaat uitvoeren en hoe dit moet gebeuren

De vragenlijst kan worden ingevuld door één persoon of door een team. Het heeft de voorkeur om de PIA door een team uit te laten voeren. Privacy behoeft een multidisciplinaire insteek. De resultaten van de PIA worden daardoor beter, doordat de verschillende deelnemers ieder vanuit hun eigen invalshoek het project kunnen bekijken. Indien dit om praktische redenen niet mogelijk is, kan ervoor gekozen worden om de PIA door één persoon uit te laten voeren en te laten reviewen door een tweede persoon.

Mogelijke betrokkenen bij het uitvoeren van een PIA

Indien de PIA door een team wordt uitgevoerd kan sprake zijn van verschillende rollen, al dan niet verdeeld over verschillende deelnemers. Hierna is een aantal rollen opgenomen. De rollen illustreren welke partijen betrokken kunnen zijn bij het uitvoeren van de PIA en welke type vragen zij met de uitvoering van de PIA wensen te beantwoorden:

  • Opdrachtgevers/initiatiefnemers en investeerders van het project: Is het

initiatief/project haalbaar vanuit de optiek van privacybescherming en de daarmee samenhangende risico’s? Doen we – gegeven de risico’s – een verantwoorde investering? Dit zijn bijvoorbeeld aandeelhouders, producteigenaren, proceseigenaren, systeemeigenaren en data-eigenaren.

  • Opdrachtnemer/verantwoordelijke uitvoering van het project: Houden we ook voldoende rekening met de niet-functionele eisen en wensen, in dit geval het

onderwerp privacybescherming en hieraan gerelateerde onderwerpen (beveiliging, document- en archiefbeheer en dergelijke)? Kennen we de risico’s en beheersen we deze afdoende? Verantwoordelijk voor de uitvoering van het initiatief zijn veelal de directie/management en indien aangesteld de projectleiding.

  • Opdrachtnemer/verantwoordelijke uitvoering van de PIA: Wordt de PIA op een gedegen

wijze uitgevoerd? Worden de juiste experts ingezet? Wordt rekening gehouden met alle belanghebbenden?

  • Meedenkers / Experts: Krijgt het onderwerp privacy en hieraan gerelateerde

onderwerpen (beveiliging, document- en archiefbeheer en dergelijke) juiste/voldoende aandacht? Is helder wat een en ander concreet betekent voor de praktijk van de uitvoering? Meedenkers zijn te splitsen in drie ‘competentiegroepen’:

  1. Personen die de organisatie en/of het project goed kennen.
  2. Experts die deskundig zijn op het onderwerp:

– Techniek.
– Informatiebeveiliging.
– Privacy.
– Juridische aspecten.
– Organisatorische aspecten.
– Andere aandachtsgebieden die voor het project van belang zijn.

  1. Uitvoerders: De resultaten van de PIA moeten leiden tot concrete instructies c.q.

randvoorwaarden voor de uitvoerders. Deze uitvoerders zijn bijvoorbeeld desysteemontwikkelaars (waaronder ICT dienstverleners), architecten, productontwikkelaars en beleidsmakers. Zij moeten precies weten binnen welke kaders zijhun werk kunnen doen. Om dit te kunnen weten, is het gewenst dat zij meedenken.

Meekijkers/beoordelaars (PIA assessor): Wordt op adequate wijze rekening gehouden met de impact van het project op betrokkenen en met de risico’s voor de betrokkenen, voor de eigen organisatie en de belanghebbenden? Meekijkers vervullen met name een Quality Assurance rol tijdens het traject en beoordelaars vervullen meer een controlerende rol aan het einde van (bepaalde fases in) het project. Deze rollen kunnen worden vervuld door professionele privacy assessors (privacy adviseurs en privacy

auditors), maar mogelijk ook de Compliance Officer, de Privacy Officer en de Functionaris voor de Gegevensbescherming.

Overigens zullen niet alle personen continu bij de PIA activiteiten betrokken zijn. De samenstelling van het PIA team en de betrokken expertises kunnen gedurende de verschillende fasen van het project wijzigen. Zo zullen aanvankelijk de juridische experts meer betrokken zijn en pas later bijvoorbeeld beveiligingsspecialisten en uitvoerders (waaronder architecten).

De personen kunnen it de eigen organisatie komen, dan wel van daarbuiten.

Voordat begonnen wordt met het uitvoeren van de PIA is het belangrijk vast te stellen wat u wilt bereiken, wie wat met de resultaten gaat doen en op welke manier de resultaten gebruikt gaan worden. Hierbij is het goed om de belangrijkste succes- en faalfactoren door te nemen en te bepalen hoe hiermee omgegaan wordt. De antwoorden op bovenstaande vragen worden samengevat in een plan van aanpak zodat hier geen verwarring over kan ontstaan.

SectieSucces- en faalfactoren in het uitvoeringsproces van een PIA?

Succesfactoren

Hierna zijn een aantal factoren opgenomen die bij kunnen dragen aan een succesvolle uitvoering van de PIA:
– PIA is een integraal onderdeel van de risicomanagementstrategie en/of PIA heeft een plek in de projectmethodiek, de PIA is geïntegreerd in processen (de PIA is geen ad hoc/toevallige activiteit en geen add on).
– PIA wordt zo vroeg mogelijk in het project opgestart en uitgevoerd (in plaats van ‘als mosterd na de maaltijd’).
– Tijdens de PIA worden de relevante interne en externe belanghebbenden betrokken (in plaats van alleen de PIA teamleden).
– PIA’s zijn toekomstgericht om er zo aan bij te dragen dat privacyrisico’s worden geïdentificeerd voordat systemen in gebruik worden genomen en programma’s worden geïmplementeerd.
– De PIA wordt gedurende het project (in ieder geval als de privacy impact dan wel privacyrisico’s wijzigen) geactualiseerd (het rapport is dus een dynamisch document in plaats van een statisch document).
– PIA wordt bij voorkeur uitgevoerd door een team waarin verschillende expertises en vaardigheden aanwezig zijn (in plaats van door één persoon).
– PIA’s zijn voorts meer effectief:
o Als deze onderdeel uitmaken van een systeem van motivering, sancties en toetsing.
o Als deze deel uitmaken van de project aanpak/methodiek of het quality assuranceproces.
o Als de individuen die de PIA uitvoeren beschikken over kennis van het
project/programma, dan wel toegang hebben tot privacy relevante expertise (privacy wetgeving, informatiebeveiliging, records management en andere functionele expertise waar relevant).
o Als ook externen die door het initiatief worden geraakt worden betrokken (gehoord, geconsulteerd).
o Als er een (formeel dan wel informeel) proces is van externe/onafhankelijke
toetsing.

Faalfactoren

Negatief geformuleerd zijn de succesfactoren tevens de faalfactoren. Hier komen drie specifieke aandachtspunten bij, namelijk:
– PIA wordt gezien als een doel op zich. PIA’s zijn alleen zinvol als deze worden
beschouwd als een middel dat de potentie heeft om een voorstel/initiatief te
veranderen als dat nodig is om privacyrisico’s te vermijden of verminderen. Als deze worden uitgevoerd als een voorgeschreven oefening met het doel om te voldoen aan een interne verplichting of een bureaucratische eis, dan worden deze beschouwd als een manier om te legitimeren in plaats van een risicoanalyse en gaat de toegevoegde waarde verloren.
– PIA wordt gezien als het noodzakelijke middel om privacy compliance tot stand te brengen. Het uitvoeren van een PIA is weliswaar een goede manier om de privacyrisico’s in kaart te brengen, privacy compliance komt echter pas tot stand als de aanbevelingen uit een PIA worden opgevolgd en er een volledige implementatie heeft plaatsgevonden van de noodzakelijke maatregelen om voortdurend aan de privacyweten regelgeving te voldoen.
– Te veel fixatie op de uitkomst. Het uitvoeren van een goede PIA is geen ‘rechttoe rechtaan’ proces. Het proces waarin het rapport tot stand komt is minstens zo belangrijk als het resultaat ervan. Als het proces te snel of onzorgvuldig wordt
uitgevoerd, bestaat het gevaar dat relevante privacyrisico’s en daarmee
samenhangende oplossingsrichtingen niet goed worden doordacht.
De antwoorden op bovenstaande vragen worden samengevat in een plan van aanpak zodat hier geen verwarring over kan ontstaan.

Verzamel en bestudeer relevante informatie

Om de PIA vragenlijst zo goed mogelijk in te kunnen vullen, is informatie nodig over:
– Het project en de maatschappelijke context hiervan.
– Wie de belanghebbenden zijn en welke eisen en wensen zij hebben.
– Van wie de gegevens worden verzameld.
– Het type gegevens (o.a. de gevoeligheid) dat gebruikt gaat worden.
– De wijze waarop deze gegevens verzameld en verwerkt gaan worden.
– De verschillende systemen die gebruikt gaan worden om de gegevens te verzamelen, op te slaan en te versturen.
– De manier waarop de gegevens tussen de verschillende systemen worden uitgewisseld.
– Waar de gegevens voor worden gebruikt (het doel of doelen).
– De reikwijdte van de verdere verwerking van de gegevens.
– Of op basis van de gegevens persoonsprofielen worden gegenereerd.
– De bedrijfsprocessen die dit doel ondersteunen of realiseren.
Deze informatie kunt u op verschillende manieren verkrijgen, bijvoorbeeld:
– Opvragen en nazoeken van documentatie over het project.
– Interviews of workshops met belanghebbenden.
Het heeft de voorkeur dat u alle benodigde informatie voorafgaand aan het invullen van de vragenlijst verzamelt. Dit heeft twee voordelen:
– Bij de beantwoording van de vragen wordt een volledig beeld meegenomen in de overwegingen.
– U vermijdt dat u meerdere keren terug moet naar dezelfde personen om aanvullende informatie te vragen.

Voor het bepalen van de belanghebbenden kunt u gebruik maken van een zogenaamde stakeholderanalyse indien deze voor het project al uitgevoerd is. Indien deze niet is uitgevoerd kunt u denken aan de volgende partijen:
1. De organisatie die het project uitvoert en (indien dit niet dezelfde is) de opdrachtgever.
2. Overige organisaties betrokken bij het project.
3. Organisaties en individuen die belang hebben bij het project en de uitkomsten ervan (zoals leveranciers en afnemers).
4. Organisaties en individuen die worden geraakt door het project en de uitkomsten ervan (burgers, klanten, belangenverenigingen).
5. Organisaties die de middelen/technologie en diensten leveren om het project mogelijk te maken.
Tijdens interviews of workshops met de belanghebbenden over de wensen en eisen met betrekking tot privacy en (informatie)beveiliging zijn de belangrijkste vragen: “Wat zijn ieders belangen, eisen en/of wensen ten aanzien van (de uitkomst van) het project en welke invloed kunnen zij op het project uitoefenen?”.
Bij het verzamelen van documentatie kunt u aan de volgende documenten denken:
1. Eerdere PIA’s en informatie over gelijkwaardige projecten.
2. Beschrijving van de gebruikte technologie en zijn gebruikswijzen (vooral relevant bij het gebruik van nieuwe technologie of het gebruik van bekende technologie op een nieuwe manier).
3. Factsheets, whitepapers, rapporten en artikelen van onderzoeksorganisaties,
samenwerkingsverbanden tussen bedrijven/ beroepsgroepen en aanbieders van technologie.
4. Consultaties met beroepsverenigingen.
5. Consultaties met private organisaties die de organisaties en individuen die worden geraakt door het project en de uitkomsten ervan representeren of daaraan advies geven.
6. Relevante wetgevingsdocumentatie en jurisprudentie.
7. Onderzoeken, richtsnoeren en andere publicaties van toezichthouders.

Ook moet u rekening houden met de volgorde van de uit te voeren activiteiten. Interviews zullen meer informatie opleveren op het moment dat alle documentatie doorgenomen is, omdat het dan mogelijk is om specifiekere vragen te stellen. Tegelijkertijd is de volgorde van interviews belangrijk voor de informatie en/of documentatie die verkregen wordt. Consultaties kunnen bijvoorbeeld het beste gehouden worden op het moment dat al (redelijk) concreet is welk resultaat het project dient te hebben.

Vul de PIA vragenlijst in

Volg de vragenlijst en vul de antwoorden in. Het is niet noodzakelijk dat u alle vragen beantwoordt. Niet alle vragen zijn voor elk project relevant. In dat geval is het advies om bij de antwoorden op de vragenlijst een toelichting op te nemen waarom een vraag niet relevant is. De vragenlijst bestaat uit zeven risicogebieden die elke met een aantal vragen worden behandeld.

Risico's

Risicogebieden die samenhangen met de omgeving waarin u opereert:
1. Het type project.
2. De gegevens die u wilt gebruiken.
3. De partijen die betrokken zijn bij de uitvoering van het project.

Risicogebieden die samenhangen met een bepaalde fase van de verwerking:
4. Het verzamelen van de gegevens.
5. Het gebruik van de gegevens.
6. Het bewaren en vernietigen van de gegevens.
7. De beveiliging van de gegevens.

De risico’s met betrekking tot de privacy principes volgen uit de beantwoording van de vragen
(op basis van de verwijstabel zoals opgenomen in bijlage I):
– Dataminimalisatie.
– Gegevenskwaliteit.
– Doelbinding en verenigbaarheid van verdere verwerking.
– Limitering van het gebruik van gegevens.
– Beveiliging van gegevens.
– Transparantie.
– Rechten van betrokkenen.
– Verantwoordelijkheid en verantwoording.
4. Beoordeel de impact en bedenk waar nodig (aanvullende) maatregelen.

Beoordeel de impact en bedenk waar nodig (aanvullende) maatregelen

Op basis van het overzicht van de risicogebieden waar de privacy van de betrokkene mogelijk wordt geschaad kunt u een inschatting maken hoe groot de impact is binnen uw project en op
uw organisatie. Vervolgens kunnen maatregelen genomen worden om de risico’s te verkleinen. Deze twee stappen worden hieronder beschreven.

Impactbepaling

Bij het beoordelen van de impact zijn er twee zaken waar u rekening mee moet houden, namelijk ‘impact op de betrokkene’ en ‘impact op de organisatie’. Impact op de betrokkene Een hogere ‘impact op betrokkene’ betekent dat de gegevens zelf en/of de context waarin deze gegevens worden gebruikt een verhoogd risico vormen voor de persoonlijke levenssfeer van degene op wie de persoonsgegevens betrekking hebben. Bij het beantwoorden van de vraag wat de impact op de betrokkene is, moet aandacht besteed worden aan:

– De van toepassing zijnde privacy dimensie(s).
– Risico op en gevolgen van identiteitsdiefstal / -fraude (waarbij anderen (opzettelijk) verplichtingen aangaan uit naam van de betrokkene zonder medeweten van de betrokkene).
– Risico op en gevolgen van mogelijke (overige) privacy inbreuken welke een bedreiging vormen voor iemands vrijheid, financiën, relaties of gezondheid.
Uitgangspunt in deze PIA is dat indien de privacy van de betrokkenen op een van deze gebieden wordt geschaad en/of niet aan wetgeving wordt voldaan, de impact op de organisatie ook groter wordt en daarmee het risico groter wordt dat:
– De organisatie kostbare aanpassingen in processen of systemen moet doorvoeren of het project vroegtijdig moet stopzetten.
– Het vertrouwen van klanten, werknemers of burgers wordt geschaad.
– Negatieve publiciteit over het niet waarborgen van de privacy ontstaat.
– De organisatie wordt onderworpen aan toezicht en handhaving.
– De gegevenskwaliteit onvoldoende is voor de dienstverlening.
– De besluitvorming wordt gebaseerd op onvoldoende betrouwbare informatie.
– Maatregelen getroffen moeten worden om de gegevens te beveiligen.
– Sancties door toezichthouders worden opgelegd, zoals boetes.

Impact op de organisatie

De impact (zoals reputatieschade, maar ook materiële financiële schade als gevolg van compliance issues, klachten en incidenten) die bovenstaande bedreigingen op uw organisatie hebben moet u zelf vaststellen. Deze wordt onder andere beïnvloed door de branche waarin u zich begeeft, het belang dat uw klanten aan privacy hechten, de maatschappelijke aandacht en de (voorbeeld)functie van de organisatie.

Maatregelen nemen om risico’s te verkleinen of weg te nemen

Op basis van de inschatting van de impact op de betrokkenen of de organisatie, moet worden nagegaan of en op welke wijze de risico’s vermeden of verkleind kunnen en/of moeten worden.
U wordt geadviseerd na te gaan of de negatieve privacy impact op de betrokkene noodzakelijk is en kan worden gerechtvaardigd. De belangen van de doelen van het project, het belang van de organisatie en het belang van het individu moeten hierbij worden afgewogen. Indien u hebt geïdentificeerd dat aanvullende maatregelen nodig zijn om de risico’s van de gegevensverwerking te rechtvaardigen zult u deze met de verantwoordelijken voor het project
moeten bespreken. Daarmee doorloopt u stap 3 nogmaals. U herhaalt deze stappen zo vaak als nodig, totdat de risico’s acceptabel zijn en het ontwerp
gerealiseerd kan worden dan wel dat het project wordt stopgezet. Het vermijden of verminderen van risico’s houdt overigens niet altijd in dat de projectdoelen moeten worden bijgesteld. Naarmate de inschatting van de impact hoger wordt, is het raadzamer om maatregelen te treffen om de risico’s weg te nemen of te verminderen. In de vragenlijst zijn diverse suggesties opgenomen over de manier waarop dit kan. Deze suggesties zijn niet uitputtend en uiteraard hangt de maatregel sterk af van de omgeving. Hieronder worden nog enkele voorbeelden gegeven van de manieren waarop risico’s vermeden of verminderd kunnen worden.

Vermijden van risico’s

Het vermijden van de risico’s kan door helemaal geen persoonsgegevens te verwerken. Het doel kan bijvoorbeeld toch bereikt worden door:
– Opslag van gegevens bij het individu in plaats van binnen de organisatie.
– Het gebruik van anonieme gegevens, of pseudoniemen.
– Het toepassen van mathematische methodes zonder de onderliggende gegevens op te vragen en te registreren.

Verminderen van risico’s

Afhankelijk van het risico en het privacy principe kunnen ook maatregelen getroffenworden die het risico verminderen. Hieronder zijn per privacy principe enkele voorbeeldenopgenomen:
1. Limitering van het verzamelen van gegevens; Het verminderen van de hoeveelheid gegevens, door de gegevens niet op te slaan of niet te bewaren.
2. Gegevenskwaliteit; Introduceren van (geautomatiseerde) controles op gegevens.
3. Doelbinding; De doelen voor het verzamelen en de verenigbaarheid van verdere verwerking nader
specificeren en hierover communiceren.
4. Limitering van gebruik van gegevens; Het beperken van de mogelijkheid om grote hoeveelheden gegevens in een keer
binnen en buiten de organisatie te verspreiden door gefragmenteerde opslag in plaats van concentreren van alle gegevens in één database.
5. Beveiliging van gegevens; Het toepassen van encryptie en logische toegangsbeveiliging.
6. Transparantie; Het opstellen van een privacy beleid, gedragscode of het laten certificeren van de
verwerking.
7. Rechten van betrokkenen; Betrokkenen zeggenschap geven over zijn gegevens door de invoer van een ‘self
service’ bijvoorbeeld via een beveiligd internet portal.
8. Verantwoordelijkheid en Verantwoording; Invoeren van periodieke externe controle.
11 Diverse bronnen bestaan waaruit maatregelen kunnen worden ontleend. Op basis van deze normstelsels kunnen organisaties, al dan niet in samenwerking met een privacydeskundige verkennen in hoeverre de te treffen beheersmaatregelen al dan niet reeds getroffen zijn. Het in kaart brengen van de eisen waar precies aan moet worden voldaan, het definiëren van het te behalen ambitieniveau/volwassenheidsniveau van de organisatie, welke beheersmaatregelen de organisatie zou moeten treffen (passend bij de ambitie/volwassenheidsniveau) alsmede het in kaart brengen van de mate waarin de organisatie de te treffen maatregelen ook daadwerkelijk reeds heeft getroffen/geïmplementeerd, maakt geen onderdeel uit van de PIA.

Stel het PIA verslag op

De resultaten van de PIA worden vastgelegd in een rapport. Op basis van het rapport kan de gebruiker van de resultaten van de PIA eventueel noodzakelijke beslissingen nemen. (In het geval van deze online PIA, wordt het rapport automatisch opgemaakt)

Laat eventueel een (onafhankelijke) toets op de PIA uitvoeren.

Tot slot kan het raadzaam zijn dat u het rapport (en de onderliggende ingevulde PIA vragenlijst) laat reviewen. Een review kan zowel intern als extern uitgevoerd worden. Bij een interne review kan dit bijvoorbeeld uitgevoerd worden door personen die niet aan de uitvoering van de PIA deel hebben genomen (dit is zeker aan te raden als het PIA team niet breed opgezet is). Maar ook kunt u denken aan personen van een ander project of personen
uit de organisatie die verder van het project af staan. Een externe review kan uitgevoerd worden door specifieke deskundigen. De IT-auditor kan/zal
door middel van zijn audit-team de juiste expertise waarborgen. Hierbij kan bijvoorbeeld een onafhankelijke beoordeling plaatsvinden op:

1. Interpretatie en inschatting van de risico’s.
2. Juridische interpretatie van de vragen en antwoorden.
3. Praktische en inhoudelijke juistheid, haalbaarheid en volledigheid van voorgestelde maatregelen.

De benodigde expertise hangt uiteraard af van het doel van de review.

Na het invullen van de vragenlijst kan ook blijken dat nader onderzoek noodzakelijk of wenselijk is.