Indien de PIA door een team wordt uitgevoerd kan sprake zijn van verschillende rollen, al dan niet verdeeld over verschillende deelnemers. Hierna is een aantal rollen opgenomen. De rollen illustreren welke partijen betrokken kunnen zijn bij het uitvoeren van de PIA en welke type vragen zij met de uitvoering van de PIA wensen te beantwoorden:
- Opdrachtgevers/initiatiefnemers en investeerders van het project: Is het
initiatief/project haalbaar vanuit de optiek van privacybescherming en de daarmee samenhangende risico’s? Doen we – gegeven de risico’s – een verantwoorde investering? Dit zijn bijvoorbeeld aandeelhouders, producteigenaren, proceseigenaren, systeemeigenaren en data-eigenaren.
- Opdrachtnemer/verantwoordelijke uitvoering van het project: Houden we ook voldoende rekening met de niet-functionele eisen en wensen, in dit geval het
onderwerp privacybescherming en hieraan gerelateerde onderwerpen (beveiliging, document- en archiefbeheer en dergelijke)? Kennen we de risico’s en beheersen we deze afdoende? Verantwoordelijk voor de uitvoering van het initiatief zijn veelal de directie/management en indien aangesteld de projectleiding.
- Opdrachtnemer/verantwoordelijke uitvoering van de PIA: Wordt de PIA op een gedegen
wijze uitgevoerd? Worden de juiste experts ingezet? Wordt rekening gehouden met alle belanghebbenden?
- Meedenkers / Experts: Krijgt het onderwerp privacy en hieraan gerelateerde
onderwerpen (beveiliging, document- en archiefbeheer en dergelijke) juiste/voldoende aandacht? Is helder wat een en ander concreet betekent voor de praktijk van de uitvoering? Meedenkers zijn te splitsen in drie ‘competentiegroepen’:
- Personen die de organisatie en/of het project goed kennen.
- Experts die deskundig zijn op het onderwerp:
– Techniek.
– Informatiebeveiliging.
– Privacy.
– Juridische aspecten.
– Organisatorische aspecten.
– Andere aandachtsgebieden die voor het project van belang zijn.
- Uitvoerders: De resultaten van de PIA moeten leiden tot concrete instructies c.q.
randvoorwaarden voor de uitvoerders. Deze uitvoerders zijn bijvoorbeeld desysteemontwikkelaars (waaronder ICT dienstverleners), architecten, productontwikkelaars en beleidsmakers. Zij moeten precies weten binnen welke kaders zijhun werk kunnen doen. Om dit te kunnen weten, is het gewenst dat zij meedenken.
Meekijkers/beoordelaars (PIA assessor): Wordt op adequate wijze rekening gehouden met de impact van het project op betrokkenen en met de risico’s voor de betrokkenen, voor de eigen organisatie en de belanghebbenden? Meekijkers vervullen met name een Quality Assurance rol tijdens het traject en beoordelaars vervullen meer een controlerende rol aan het einde van (bepaalde fases in) het project. Deze rollen kunnen worden vervuld door professionele privacy assessors (privacy adviseurs en privacy
auditors), maar mogelijk ook de Compliance Officer, de Privacy Officer en de Functionaris voor de Gegevensbescherming.
Overigens zullen niet alle personen continu bij de PIA activiteiten betrokken zijn. De samenstelling van het PIA team en de betrokken expertises kunnen gedurende de verschillende fasen van het project wijzigen. Zo zullen aanvankelijk de juridische experts meer betrokken zijn en pas later bijvoorbeeld beveiligingsspecialisten en uitvoerders (waaronder architecten).
De personen kunnen it de eigen organisatie komen, dan wel van daarbuiten.