De PIA, uw Privacy Impact Assessment

De PIA geeft u inzicht in de privacyrisico’s van uw gegevensverwerking. Wij geven concrete en praktische aanbevelingen over passende maatregelen voor dataprotectie. U heeft keuze uit drie varianten van de PIA.

Een Privacy Impact Assessment geeft meer zekerheid. Wij geven die zekerheid

Vanaf 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming. Bij gegevensverwerkingen met een hoog privacyrisico is het verplicht een Privacy Impact Assessment uit
te voeren. Wij kunnen de PIA geheel of gedeeltelijk voor u uitvoeren. U heeft keuze uit drie mogelijkheden:

  • PIA Quickscan
  • PIA Review
  • Volledige PIA

Laat ZorgTTP uw PIA uitvoeren

Welke variant u ook kiest, ZorgTTP heeft een ervaren team van technisch en juridisch specialisten om u te ondersteunen. Onze multidisciplinaire aanpak zorgt voor een zorgvuldige analyse van de
privacyrisico’s en een kritische blik op de reeds genomen maatregelen.

Afspraak maken

Bespreek de mogelijkheden voor het uitvoeren van een PIA met één van onze adviseurs.
Dankzij elf jaar praktische ervaring hebben wij een omvangrijk klantenbestand in de zorg- en overheidssector, zoals het
Ministerie van Volksgezondheid, Welzijn en Sport, de Nederlandse Zorgautoriteit, het Centraal Bureau voor de Statistiek en vele gemeenten, GGD-instellingen en verschillende academische centra
(UMC’s).
A

PIA Quickscan

Wanneer een PIA Quickscan
Kies voor de Quickscan wanneer u advies en/of sturing nodig heeft bij het opstarten van een PIA die u verder zelfstandig wilt uitvoeren. Óf wanneer u een kort en bondig advies over uw gegevensverwerking wilt.

Eén of twee dagen
In één of twee dagen stellen we de Quickscan op. U ontvangt een bondig adviesrapport met de kernelementen van de mogelijke risico’s en privacy principes.

Richtinggevend
De quickscan is met name bedoeld als richtinggevend rapport op basis waarvan u verdere acties kunt ondernemen.

Documentatie
Om een Quickscan uit te voeren levert u relevante documentatie aan over het project, de betrokkenen en de gegevensverwerking.

Z

PIA Review

Wanneer een PIA Review
Als u al over een PIA beschikt en u die wilt laten reviewen. Wij beoordelen uw gegevensverwerking op basis van de huidige stand der techniek en de meest recente wet- en regelgeving.

Eén of twee dagen
Wij leveren in één of twee dagen een bondig adviesrapport op. Daarin beschrijven wij in welke mate uw gegevensverwerking nog steeds beveiligd is.

Extra maatregelen
Wanneer er extra technische, juridische of organisatorische beveiligingsmaatregelen noodzakelijk zijn, vermelden wij dat.

Documentatie
Wij ontvangen van u het bestaande PIA-rapport en alle relevante informatie over het project.

Volledige PIA

Wanneer een volledige PIA
Bij gegevensverwerkingen met een hoog privacyrisico is het verplicht een PIA uit
te voeren. Samen met u bepalen we het doel en de reikwijdte van het onderzoek.

Variabele looptijd
Wij geven u vooraf een indicatie van de doorlooptijd van deze PIA. U ontvangt een gedetailleerd rapport. Hierin beschrijven we de resultaten op basis van vooraf gespecificeerde risicogebieden, een risico- en impactanalyse op basis van dataprotectie principes uit de AVG, een conclusie en concrete, praktische aanbevelingen op maat voor uw gegevensverwerking.

Multidisciplinaire interviews
We houden multidisciplinaire interviews om de technische, juridische en organisatorische aspecten van uw gegevensverwerking in kaart te brengen.

Documentatie
We ontvangen vooraf alle ondersteunende documentatie van u.

Concreet inzicht in de risico’s van uw gegevensverwerking met de PIA

De PIA beschrijft de technische, organisatorische en juridische aspecten van
uw gegevensverwerking aan de hand van privacy principes uit de AVG. Daarnaast geven wij in
ons PIA-adviestapport concrete, praktische aanbevelingen voor dataprotectie en privacymaatregelen.

De 5 meest gestelde vragen over de PIA

Wanneer is het uitvoeren van een PIA verplicht volgens de AVG?
Als uw wilt weten of een PIA verplicht is voor uw gegevensverwerking, kunt u dit beoordelen op basis
van de criteria die zijn opgesteld door de Werkgroep van Europese Toezichthouders (WP29). Een PIA
is verplicht als uw voldoet aan twee of meer van de volgende criteria:

  1. de verwerking van gevoelige gegevens
  2. het beoordelen van mensen op basis van persoonskenmerken (profiling)
  3. de verwerking van gegevens over kwetsbare personen
  4. stelselmatige en grootschalige monitoring (bijvoorbeeld cameratoezicht in openbare ruimten)
  5. grootschalige gegevensverwerking
  6. geautomatiseerde beslissingen
  7. gekoppelde databases
  8. het gebruik van nieuwe technologieën
  9. de blokkering van een recht, dienst of contract.

Lees een uitgebreide toelichting over deze PIA-criteria.

Op welk moment moet ik een PIA uitvoeren?
Een PIA voert u zo vroeg mogelijk in het proces uit. De PIA zorgt ervoor dat risico’s binnen uw gegevensverwerking worden geïdentificeerd en beoordeeld. Op basis van de gevonden privacyrisico’s voor de betrokkenen kunt u passende maatregelen voor dataprotectie treffen.

Om continu een gewaarborgd beveiligsniveau te hanteren voert u op systematische en cyclische wijze de PIA uit. ZorgTTP voert de PIA voor uw gegevensverwerking uit en vervolgens kunt u periodiek ZorgTTP de gegevensverwerking laten herbeoordelen.

Welke PIA-variant kan ik het beste kiezen?
Om u zo goed mogelijk van dienst te zijn biedt ZorgTTP diverse varianten van de PIA:

  1. PIA Quickscan: wanneer u hulp nodig heeft bij het opstarten van een PIA die u verder zelfstandig wilt uitvoeren. Of wanneer u een kort en bondig advies over uw gegevensverwerking wilt ontvangen.
  2. PIA Review: Als u al over een PIA beschikt en u die wilt laten reviewen. Wij beoordelen uw gegevensverwerking op basis van de huidige stand der techniek en de meest recente wet- en regelgeving.
  3. Volledige Review: u heeft nog geen PIA en verwacht dat u er wel een nodig heeft, omdat u voldoet aan twee of meer van de PIA-criteria.
Wat zijn de voordelen van ZorgTTP voor een (volledige) PIA?
Een PIA uitvoeren is een arbeidsintensief proces. Er is uitgebreide bestudering van bestaande documentatie nodig. Daarnaast zijn multidisciplinaire interviews noodzakelijk om alle technische, juridische en organisatorische aspecten van de gegevensverwerking in kaart te brengen. Het houden, uitwerken en analyseren van de interviews is tijdrovend, maar vereist ook gecombineerde technische, juridische en organisatorische kennis om tot een volledige risico- en impactanalyse te komen. Daarnaast is de uitvoering van een PIA een terugkerend proces, waardoor de tijdsinvestering groot is, maar de efficiency bij herhaling toeneemt.

ZorgTTP heeft relevante en praktische kennis beschikbaar op het gebied van technische beveiligingsmaatregelen en dataprotectie wetgeving om de PIA voor uw organisatie uit te voeren. Op basis van onze kennis en ervaring nemen wij de PIA gedeeltelijk of volledig voor u uit handen. Wij bieden u naast een risico- en impactanalyse ook praktische en concrete aanbevelingen die u direct kan toepassen in uw organisatie.

Met wie kan ik contact opnemen als ik vragen heb over het laten uitvoeren van een PIA?
Voor vragen over onze dienstverlening kunt u vrijblijvend contact met ons opnemen. U kunt ons
telefonisch bereiken op telefoonnummer 030 – 63 606 49 of per e-mail via info@zorgttp.nl. U kunt
altijd vragen naar één van onze PIA adviseurs.