Privacy Impact Assessment
Na invoering van de AVG bestaat de mogelijkheid dat u als kantoor voor één of meerdere gegevensverwerkingen een PIA moet uitvoeren. Een PIA is alleen verplicht als u als kantoor een gegevensverwerking heeft met een grote hoeveelheid bijzondere persoonsgegevens en daardoor een hoog privacyrisico kan opleveren voor de klant. Als voorbeelden noemt de Autoriteit Persoonsgegevens op dit moment bijvoorbeeld een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden. Daarnaast hebben de gezamenlijke Europese toezichthouders aangegeven dat verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’) niet als grootschalig worden beschouwd.
De vraag is nu waar u zich als kantoor mee mag vergelijken en of een PIA voor u verplicht is. Omdat ook de Europese privacytoezichthouders zien dat veel organisaties worstelen met de term “een gegevensverwerking heeft met een grote hoeveelheid bijzondere persoonsgegevens die een hoog privacyrisico kan opleveren”, is de verwachting dat er op den duur een praktische standaard komt waarmee u eenvoudiger bepaalt of u volgens de AVG op grote schaal bijzondere persoonsgegevens verwerkt en dus een FG moet aanstellen en een PIA moet uitvoeren. De Autoriteit Persoonsgegevens geeft aan te informeren zodra er meer bekend is hieromtrent.