Sinds mei 2018 is er nieuwe Europese privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). Deze heeft ook consequenties voor het hoger onderwijs en onderzoek. Instellingen moeten hier tijdig op inspringen. SURF helpt daarbij.
Impact- en riskassessment
In de AVG speelt het beoordelen van het effect van een verwerking op de bescherming van persoonsgegevens een grote rol. Dit kan met een PIA, een Privacy Impact Assessment. SURF heeft een PIA opgesteld als leidraad.
Privacy Impact Assessment
Als er gewerkt wordt met persoonsgegevens, kan door het doen van een PIA al vroeg bepaald worden of er aanvullende maatregelen moeten worden genomen om een inbreuk op iemands persoonlijke levenssfeer te vermijden of te verminderen. De PIA speelt een belangrijke rol bij de introductie van nieuwe systemen en processen waarbij persoonsgegevens verwerkt worden. Als voorbereiding op de AVG heeft de werkgroep PIA vanuit de initiatiefgroep Privacy Hoger Onderwijs een model-PIA opgesteld. Andere termen voor de PIA zijn: Data Protection Impact Assessment (DPIA) of Gegevensbeschermingseffectbeoordeling (GEB). De documenten op deze webpagina zijn al eerder opgesteld en op de Wbp gebaseerd.
Model-PIA
Er komen steeds meer modellen op de markt die privacyrisico's in een vroeg stadium op een gestructureerde en concrete manier in beeld kunnen brengen. Deze zijn echter niet altijd toegesneden op onderwijs en onderzoek. De werkgroep heeft dan ook een model-PIA ontwikkeld die is toegesneden op de praktijk van het hoger onderwijs. De PIA 2.0 is beschikbaar via de interne website van SCIPR, de SURF Community voor Informatiebeveiliging en Privacy. Door de macro's in het bestand, is het niet mogelijk de PIA via deze website ter beschikking te stellen. Heb je interesse in dit document, neem dan contact op met SCIPR.
PIA als onderdeel van compliance
Een PIA is er vooral op gericht om risico’s voor de rechten en vrijheden van betrokkenen in kaart te brengen en deze risico's zoveel mogelijk te beperken. Dit laatste kan door extra maatregelen te nemen en extra waarborgen te bieden. Maar met alleen een PIA ben je er niet. In de model-PIA staan maatregelen die op basis van de AVG verplicht zijn, maar het uitvoeren van de PIA staat niet gelijk aan het volledig voldoen aan de eisen die de AVG stelt.
Bedenk daarom goed of je naast het uitvoeren van een PIA ook voldoende aandacht hebt besteed aan de overige eisen en verplichtingen uit de AVG. Lees meer over de beginselen en onderwerpen uit de AVG. Meer over de PIA in verhouding tot compliance en tooling is te vinden in de notitie: ‘’.
Deliverables / werkdocumenten
- (pdf)
- PIA risicoformulier (pdf)
- (pdf)
- PIA 2.0: zie interne website SCIPR
- Notitie PIA en Compliance (pdf)
Naast deze werkdocumenten zijn ook nog beschikbaar:
- (pdf)
- Lijst met definities van termen rondom de AVG (pdf)