Definitie

“Een PIA legt in de eerste plaats de privacyrisico’s bloot van nieuwe (projecten en initiatieven) of bestaande verwerkingen van persoonsgegevens en draagt bij aan het vermijden of verminderen van privacyrisico’s.”
Bron: E. Köning & W. Karssenberg, Privacy Impact Assessment (PIA) Introductie, handreiking en vragenlijst, versie 1.2, november 2015, p. 9

In welke gevallen moet ik een PIA uitvoeren?

De werkgroep van Europese privacytoezichthouders (WP29) heeft een lijst van 10 criteria opgesteld. Aan hoe meer criteria uw verwerking voldoet, hoe waarschijnlijker het is dat deze een hoog risico oplevert. Als vuistregel kunt u hanteren dat u een PIA moet uitvoeren als uw verwerking aan 2 of meer van de onderstaande 10 criteria voldoet.

1. Beoordelen van mensen op basis van persoonskenmerken
2. Geautomatiseerde beslissingen
3. Stelselmatige en grootschalige monitoring
4. Gevoelige gegevens
5. Grootschalige gegevensverwerkingen
6. Gekoppelde databases
7. Gegevens over kwetsbare personen
8. Gebruik van nieuwe technologieën
9. Doorgifte van persoonsgegevens buiten de EU
10. Blokkering van een recht, dienst of contract
Voor meer informatie over de PIA lees verder op de site van de Autoriteit Persoonsgegevens.