GDPR Artikel 35 vereist dat organisaties a Gegevensbeschermingseffectbeoordeling (DPIA) wanneer hun acties als gegevensverwerker het potentieel hebben om de rechten en vrijheden van individuen te beïnvloeden, zoals toegekend door hun nationale overheden.
Impactbeoordeling van gegevensbescherming
- Wanneer een soort verwerking, met name waarbij gebruik wordt gemaakt van nieuwe technologieën, en rekening houdend met de aard, reikwijdte, context en doeleinden van de verwerking, waarschijnlijk zal leiden tot een hoog risico voor de rechten en vrijheden van natuurlijke personen, zal de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, een beoordeling uitvoeren van de impact van de beoogde verwerkingen op de bescherming van persoonsgegevens. Eén enkele beoordeling kan betrekking hebben op een reeks vergelijkbare verwerkingsactiviteiten die vergelijkbare hoge risico's met zich meebrengen.
- De verwerkingsverantwoordelijke wint het advies in van de functionaris voor gegevensbescherming, indien aangewezen, bij het uitvoeren van een gegevensbeschermingseffectbeoordeling.
- Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in het geval van:
- (a) een systematische en uitgebreide evaluatie van persoonlijke aspecten met betrekking tot natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, inclusief profilering, en waarop beslissingen zijn gebaseerd die rechtsgevolgen voor de natuurlijke persoon hebben of die de natuurlijke persoon op soortgelijke wijze aanzienlijk treffen.
- b) de verwerking op grote schaal van bijzondere categorieën gegevens als bedoeld in artikel 9, lid 1, of van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10; of
- c) een systematische monitoring van een publiek toegankelijk gebied op grote schaal.
- De commissaris stelt een lijst op en maakt deze openbaar van het soort verwerkingsactiviteiten waarvoor een gegevensbeschermingseffectbeoordeling overeenkomstig lid 1 vereist is. De toezichthoudende autoriteit deelt deze lijsten mee aan het in artikel 68 bedoelde Comité.
- De commissaris kan ook een lijst opstellen en openbaar maken van het soort verwerkingsactiviteiten waarvoor geen gegevensbeschermingseffectbeoordeling vereist is. De toezichthoudende autoriteit deelt deze lijsten mee aan de Raad.
- De beoordeling bevat in ieder geval:
- a) een systematische beschrijving van de beoogde verwerkingsactiviteiten en de doeleinden van de verwerking, inclusief, indien van toepassing, het legitieme belang dat door de verwerkingsverantwoordelijke wordt nagestreefd.
- b) een beoordeling van de noodzaak en evenredigheid van de verwerkingsactiviteiten in relatie tot de doeleinden.
- c) een beoordeling van de risico's voor de rechten en vrijheden van de in lid 1 bedoelde betrokkenen; En
- d) de beoogde maatregelen om de risico's aan te pakken, met inbegrip van waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te waarborgen en om de naleving van deze verordening aan te tonen, rekening houdend met de rechten en legitieme belangen van de betrokkenen en andere betrokken personen.
- Bij de beoordeling van de impact van de door dergelijke verwerkingsverantwoordelijken of verwerkers uitgevoerde verwerkingsactiviteiten wordt terdege rekening gehouden met de naleving van de in artikel 40 bedoelde goedgekeurde gedragscodes, met name met het oog op een gegevensbeschermingseffectbeoordeling.
- In voorkomend geval vraagt de verwerkingsverantwoordelijke de mening van de betrokkenen of hun vertegenwoordigers over de voorgenomen verwerking, onverminderd de bescherming van commerciële of publieke belangen of de veiligheid van verwerkingsactiviteiten.
- In het geval van verwerking overeenkomstig artikel 6, lid 1, onder c) of e), zijn de leden 1 tot en met 7 van dit artikel niet van toepassing als er al een gegevensbeschermingseffectbeoordeling is uitgevoerd voor de verwerking als onderdeel van een algemene effectbeoordeling vereist door het nationale recht, tenzij het nationale recht anders bepaalt.
- Waar nodig voert de verwerkingsverantwoordelijke een beoordeling uit om te beoordelen of de verwerking wordt uitgevoerd in overeenstemming met de gegevensbeschermingseffectbeoordeling, tenminste wanneer er een verandering is in het risico dat de verwerkingsactiviteiten met zich meebrengen.
De Britse AVG is grotendeels vergelijkbaar met het EU-AVG-uittreksel, zonder merkbare verschillen.
Vraag een offerte aan
Bij het overwegen van de planning en implementatie van een DPIA moeten organisaties rekening houden met elf belangrijke gebieden:
PII en privacybescherming kunnen gevolgen hebben voor een groot aantal werknemers, gebruikers en klanten, zowel intern als extern.
Organisaties moeten een goed inzicht krijgen in de behoeften van het betrokken personeel en in wat ISO als 'belanghebbende partijen' beschouwt.
De behoefte van de organisatie aan het vaststellen en documenteren van:
Organisaties moeten naast praktische en operationele vereisten ook rekening houden met eventuele wettelijke, regelgevende of contractuele verplichtingen.
Bij het implementeren van een PIMS moeten organisaties een lijst opstellen van geïnteresseerde partijen die ofwel door een PIMS worden getroffen, ofwel een rol te spelen hebben bij de verwerking van PII.
Als het om PII gaat, kan een geïnteresseerde partij een van de volgende partijen zijn (maar niet beperkt tot):
Het is belangrijk op te merken dat PII-vereisten – zoals gerelateerd aan een PIMS – vaak afkomstig zijn van een breed scala aan bronnen, waaronder:
Het kan vaak moeilijk zijn voor overheids- en regelgevende organisaties om de naleving van gepubliceerde privacybeschermingsnormen door een organisatie, in haar rol als PII-verwerker en -controleur, te bevestigen.
Als zodanig moeten organisaties van dergelijke instanties verwachten dat zij oproepen tot onafhankelijke beoordelingen van elk relevant managementsysteem, om aan hun eigen auditvereisten te voldoen.
In deze sectie praten we over AVG-artikelen 35 (1), 35 (10), 35 (11), 35 (2), 35 (3)(a), 35 (3)(b), 35 (3)(c ), 35 (4), 35 (5), 35 (7)(a), 35 (7)(b), 35 (7)(c), 35 (7)(d), 35 (8) en 35 (9)
Met privacy-impactbeoordelingen kunnen organisaties eventuele implicaties voor de informatiebeveiliging inschatten bij het verwerken van een nieuwe set PII, of het wijzigen van de manier waarop bestaande gegevens worden verwerkt.
De verwerking van PII is een bedrijfsfunctie met veel risico die grondig moet worden beoordeeld om de integriteit, authenticiteit en wettigheid van de gegevens die worden verwerkt te garanderen.
Afhankelijk van het rechtsgebied zullen sommige organisaties zich moeten houden aan een categorische lijst van scenario’s waarin een privacyeffectbeoordeling vereist is, zoals:
Organisaties moeten vaststellen wat een adequate effectbeoordeling inhoudt, inclusief (maar niet beperkt tot):
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Contracten moeten het volgende omvatten:
| AVG-artikel | ISO 27701-clausule | ISO 27701 Ondersteunende clausules |
|---|---|---|
| EU AVG Artikel 35 (9) | ISO 27701 5.2.2 | Geen |
| EU AVG Artikelen 35 (1) tot 35 (9) | ISO 27701 7.2.5 | Geen |
| EU AVG Artikel 35 (1) | ISO 27701 8.2.1 | ISO 27701 7.4 ISO 27701 8.4 |
Een overtreding van de AVG kan resulteren in aanzienlijke boetes, waardoor het een van de strengste privacy- en beveiligingsregels ter wereld is. Organisaties moeten daarom persoonsgegevens in ‘redelijke’ mate beschermen.
Maar hier is het goede nieuws.
Met ISMS.online kunt u direct aan de slag met AVG-compliance en een beschermingsniveau aantonen dat verder reikt dan 'redelijk'. Wij maken het in kaart brengen van data eenvoudig. Registreer en bekijk eenvoudig de verwerkingsactiviteiten van uw organisatie door uw gegevens toe te voegen aan onze vooraf geconfigureerde dynamische tool voor het registreren van verwerkingsactiviteiten.
Met onze tools kunt u elke inbreuk plannen, communiceren, documenteren en ervan leren.
Meer informatie via een demo boeken.
ISMS.online is een
one-stop-oplossing die onze implementatie radicaal heeft versneld.
