Inleiding

In mei 2018 is het dan zover dan moeten alle organisaties voldoen aan de Algemene Verordening Gegevensbescherming (AVG) en moeten ze een aantoonbaar proces hebben dat goed omgaat met onze persoonsgegevens. Als organisatie hier niet aan houden dan mogen toezichthouders boetes uitdelen, burgers compensaties vragen en bestuurders aansprakelijk gehouden worden.

Om na te gaan of je aan de AVG voldoet, voert iedere bestuurder een Privacy Impact Assessment (PIA) uit. De PIA is uitgevoerd bij een klant waar ik momenteel een opdracht voor uitvoer. In deze blog wilde ik mijn ervaringen met jullie delen.

Privacy Impact Assessment (PIA)

De privacy in PIA heeft betrekking op de vastlegging en verwerking van persoonsgegevens. Een PIA is een hulpmiddel bij de ontwikkeling van beleid en de daarmee gepaard gaande wetgeving of bij de bouw van ICT-systemen en aanleg van databestanden. Hiermee kunnen de privacy risico’s op een heldere en gestructureerde manier in kaart gebracht worden.
Voor de PIA is gebruik gemaakt van de PSA van de klant. In deze PSA heb ik een aantal modellen en principes ingezet die helpen om een beeld te krijgen hoe goed het project omgaat met de privacy van persoonsgegevens in de informatiesysteem.

 Privacy Principes

Het project waaraan ik werk is voor de PIA getoetst op de onderstaande universele privacy principes van de OESO/OECD.

 

PrincipeUitleg van principe op privacy
Limitering en gebruik pesoonsgegevensDe persoonsgegevens mogen alleen verwerkt worden op basis van de grondslagen in de Wet Bescherming Persoonsgegevens (WBP).
DatakwaliteitIn de functionaliteit is vastgelegd aan welke kwaliteitseisen de persoonsgegevens bij een verwerking moet voldoen.
DoelbindingDe persoonsgegevens kunnen alleen voor vooraf duidelijke bepaalde omschreven en gerechtvaardige doeleinden verzameld en gebruikt worden.
BeveiligingTechische en organisatorische beveiligingssmaatregelen zijn genomen om verlies of onrechtmatige verwerking tegen te gaan.
TransparantieDe gebruikers worden geinformeerd over het gebruik van hun persoonsgegevens en ze hebben daar zelf controle over.
Rechten betrokkenenGebruikers hebben het recht om hun gegevens in te zien, correcties uit te voeren en aanvullingen op te doen. Hierdoor zijn ze in staat om onrechtmatig gebruik aan te vechten.
VerantwoordingVerantwoordelijken nemen besluiten om privacyrisico’s te mitigeren of elimineren. Een externe belanghebbende bewijst de borging.

 Architectuur

Ik heb voor het project een Project Start Architectuur (PSA) opgesteld zodat deze ook gebruikt kon worden voor de PIA. Deze PSA is door de externe uitvoerder van PIA als input genomen voor de PIA.

In de PSA heb ik een model gemaakt van alle relevante componenten met koppelvlakken ertussen die een rol spelen bij het systeem. In het model zie je de gegevens die tussen de componenten uitgewisseld worden. Het model is een goede basis om aan te tonen welke gegevens gebruikt worden tussen de verschillende componenten.

Hieronder zijn een aantal principes van de PSA uitgelicht die belangrijk zijn bij een PIA:

Conclusie

De Rijksoverheid gaat goed om met privacy. We houden rekening met de persoongegevens vanaf creatie tot vernietiging. Dit wordt periodiek gevalideerd middels een PIA die uitgevoerd wordt.

Terug naar blog

Auteur

David Kamp

Datum

12 december 2017

Categorie(ën)

Architectuur

Tag(s)

, , ,