Column


IT-jurist Peter van Schelven over...

Nieuw PIA-model voor rijksoverheid

Minister Plasterk van Binnenlandse Zaken en Koninkrijksrelaties heeft een nieuw model gepubliceerd voor het opzetten en uitvoeren van een PIA, oftewel een Privacy Impact Assessment. Het model, bestemd voor het gebruik binnen de rijksoverheid, is enkele dagen terug door de minister aangeboden aan de Tweede Kamer nadat de ministerraad er onlangs zijn zegen aan gaf. De rijksdiensten zijn in beginsel verplicht het nieuwe PIA-model te gebruiken. Het model is opgebouwd uit 17 stappen.

De huidige Wet bescherming persoonsgegevens verplicht bedrijven en organisaties niet tot het uitvoeren van een PIA. Dat wordt in mei 2018 anders met de Algemene Verordening Gegevensbescherming. De AVG bevat in artikel 35 de hoofdregel dat organisaties verplicht zijn een PIA uit te voeren in al die gevallen waarin de verwerking van persoonsgegevens ‘waarschijnlijk een hoog risico’ voor de privacy van de betrokken burgers inhoudt. Een PIA is het in de Europese privacywetgeving genoemde instrument om die risico’s in kaart te brengen en om passende risicomaatregelen te inventariseren.

De AVG stelt als zodanig geen eisen aan de duur, omvang en diepgang van een PIA. Soms is een simpel onderzoekje van enkele uren al toereikend, in andere gevallen kan een uitgebreide exercitie van dagen of zelfs weken nodig zijn. Een PIA is dus steeds maatwerk.

PIA bij nieuwe wetten
Kijk je naar het door Plasterk gepubliceerde nieuwe model voor een PIA, dan valt op dat het kabinet verder wenst te gaan dan de AVG verlangt. De AVG beperkt de inzet van het instrument van de PIA tot verwerkingen van persoonsgegevens, bijvoorbeeld als er een nieuwe, in potentie risicovolle applicatie gebruikt gaat worden.

Het model bepaalt echter – overigens in lijn met reeds bestaande praktijken binnen delen van de rijksoverheid – dat een PIA ook nodig is bij de ontwikkeling van beleid en wetgeving die betrekking hebben op verwerkingen van persoonsgegevens. Dat houdt dus in dat nieuwe wetten in de toekomst vergezeld zullen gaan van een PIA, indien die wetten op de een of andere manier de omgang met persoonsgegevens raken. De verwachting is dan ook dat de PIA’s fors oprukken.

NOREA
Bij velen is er behoefte aan een goed vertrekpunt voor het opzetten en uitvoeren van een PIA. Het nieuwe model van Plasterk geeft met een duidelijk uitgewerkt stappenplan goede guidance voor de overheidsdienaren. Hoewel het model primair bestemd is voor gebruik binnen de rijksoverheid, kunnen ook private organisaties er hun voordeel mee doen.

Bedrijven vallen bij het opzetten en uitvoeren van een PIA niet zelden terug op de methodische handreiking en vragenlijsten van NOREA, de beroepsorganisatie van IT-auditors. Die worden echter meer dan eens als een weinig sturend instrument bestempeld. Het model van de rijksoverheid is daarom een welkome aanvulling.

Openbaarheid
Dat neemt niet weg dat ook het PIA-model van de rijksoverheid op onderdelen weinig ondersteuning geeft. Zo bijvoorbeeld op het punt van de openbaarheid van het rapport dat het resultaat is van een PIA. Het model schrijft daarover: “In het kader van transparantie en draagvlakvergroting kan het wenselijk zijn om (delen van) de uitkomsten van de PIA openbaar te maken, rekening houdend met het afwegingskader van de Wet openbaarheid van bestuur. Zo hoeven bijvoorbeeld kwetsbaarheden van een ICT-systeem niet openbaar gemaakt te worden.”

Het spreekt uiteraard vanzelf dat ICT-kwetsbaarheden niet aan de grote klok gehangen moeten worden, maar voor het overige laat de minister de vraag of een PIA-rapport wel of niet openbaar gemaakt moet worden geheel aan de eigen afwegingen van de desbetreffende rijksdienst over. De kans is dus groot dat PIA-rapporten binnenkort niet standaard op de sites van de rijksoverheid worden geplaatst. U moet waarschijnlijk een Wob-verzoekje doen om een rapport te bemachtigen.

Privacy gaat over uw en mijn gegevens. Zou het daarom niet voor de hand liggen als Plasterk zou hebben besloten dat alle PIA-rapporten standaard op het internet gepubliceerd moeten worden, tenzij er verdomd goede redenen zijn om dat niet of niet geheel te doen? Hij heeft dat niet gedaan. Voor de rijksoverheid is die gedachte wellicht een brug te ver.


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht