Column


IT-jurist Peter van Schelven over...

PIA: mooi meisje of monster?

Er lopen heel wat meisjes en vrouwen in de wereld met de mooie naam Pia. Ik ken ze niet allemaal, maar ongetwijfeld zijn zij allen pareltjes van de mensheid. Het doet daarom vreemd aan dat de aanduiding PIA in de praktijk van privacyconsultants gebruikt wordt voor iets veel minder moois: de Privacy Impact Assessment.

De Algemene Verordening Gegevensbescherming (AVG), waaraan organisaties op 25 mei 2018 moeten voldoen, bevat een tweetal artikelen over de PIA. Onder de AVG is het uitvoeren van een PIA – een rapport waarin de risico’s en proportionaliteit rondom de verwerking van persoonsgegevens in beeld worden gebracht en de basis voor beheersmaatregelen wordt gegeven – in sommige gevallen verplicht en soms niet.

Hoe zit dat dan? Wie de regeling in de AVG erop naslaat, wordt door de Europese wetgever met een kluitje in het riet gestuurd. Want in welke situaties moet je een onderzoek doen naar de impact op de privacy van de betrokken burgers alvorens je een IT-systeem in gebruik neemt?

Nieuwe technologie met hoog risico
In weinig heldere bewoordingen zegt de AVG daarover dat die verplichting pas bestaat als je gebruikmaakt van ‘nieuwe technologieën’ die ‘een hoog risico’ voor de privacy en andere vrijheden van burgers inhouden. Met die ‘high level’ prietpraat komt zelfs de meest doorgewinterde privacyjurist niet veel verder. De AVG geeft daarom een drietal voorbeelden van gevallen waarin een PIA nodig wordt geacht, zoals bij het maken van persoonsprofielen (‘profiling’) en het grootschalig verwerken van strafrechtelijke gegevens. Maar het zijn slechts wettelijke voorbeeldjes, niets meer en niets minder.

De gezamenlijke landelijke toezichthouders in Europa, verenigd in de zogeheten Werkgroep-29, willen daarom een opiniedocument publiceren waarin de PIA-verplichting meer handen en voeten wordt gegeven. De opvattingen die de Werkgroep-29 daarover heeft, zijn strikt genomen geen harde rechtsregels, maar in kringen van privacyjuristen wordt aan de documenten van dit platform doorgaans wel enig gezag toegekend. Men spreekt daarom wel van ‘soft law’.

Nieuwe spelregels
Het conceptstuk over de PIA, dat op 4 april is gepubliceerd en tot 23 mei door het publiek becommentarieerd mag worden, bevat tal van opvattingen die de moeite van het lezen waard zijn. Zo presenteert de Werkgroep-29 in haar opinierapport een groot aantal conceptvuistregels. De werkgroep is bijvoorbeeld van mening dat je eerder aan een verplichte PIA toekomt als persoonsgegevens het grondgebied van de Europese Unie verlaten. Voor internationaal opererende organisaties komt de PIA dus eerder in het vizier dan voor organisaties die slechts binnen de EU handelen.

Bij het gebruik van systemen (websites) die zich op kinderen richten, ligt een PIA ook voor de hand, aldus het voorlopige standpunt van de Werkgroep-29. Als je deze voorbeelden tegen de tekst van de AVG aanhoudt, dan wordt duidelijk dat de Werkgroep-29 de PIA nogal zwaar aanzet. Ik kan me niet aan de indruk onttrekken dat de werkgroep nieuwe spelregels wenst te introduceren. Europese organisaties moeten kennelijk zo breed mogelijk aan de PIA.

Openbaarmaking PIA’s
Ook andere onderdelen van het opinierapport roepen vraagtekens op. Zo verplicht de AVG met geen woord dat je als organisatie de resultaten van een PIA openbaar maakt. Voor bedrijven geldt volgens de AVG geen openbaarmakingsplicht en voor spelers in de publieke sector vloeit openbaarheid van de PIA eventueel slechts voort uit andere wetgeving (bijvoorbeeld de Wet Openbaarheid van Bestuur).

Met olifantslaarzen dendert de Werkgroep-29 evenwel door de porseleinkast, daar zij het als een ‘good practice’ bestempelt om PIA’s openbaar te maken. Het is dan wel zo dat in sommige sectoren ooit om politieke redenen gekozen is voor openbaarmaking, bijvoorbeeld bij de PIA over de inzet van ‘slimme meters’, maar dat maakt openbaarmaking nog niet per definitie tot een ‘good practice’.

Verhoging boeterisico
Staat uw organisatie erom te springen dat de resultaten van een PIA ergens voor het grote publiek op uw site terechtkomen? Ik kan me dat niet goed voorstellen. Immers, als u onvoldoende maatregelen treft om de door uzelf geconstateerde privacyrisico’s te beheersen, dan stelt u zich bloot aan de kwade kans op bestuurlijke boetes. Het publiceren van een PIA-rapport verhoogt in zekere zin dus het boeterisico.

De Werkgroep-29 lijkt daar spijtig genoeg weinig oog voor te hebben. Zo verwordt de PIA van mooi meisje of schone vrouw al snel tot een juridisch monster dat ongenoegen, hoofdpijn en forse schade veroorzaakt.


Lees meer over