Kenniscentrum Wetgeving en Juridische zaken

Privacy Impact Assessment

Integraal afwegingskader voor beleid en regelgeving

Beschrijving 

Een Privacy Impact Assessment (PIA of Gegevensbeschermings-effectbeoordeling c.q. GEB) is een middel dat de overheid en het bedrijfsleven ondersteunt bij het beoordelen van nieuwe technologie, informatiesystemen, programma’s, beleid en wetsvoorstellen op het voldoen aan privacyvereisten. Het kabinet heeft op 21 juni 2013 laten weten de PIA als verplichte kwaliteitseis op te nemen in het IAK (zie de brief van de Minister voor Wonen en Rijksdienst en van de Staatssecretaris van Veiligheid en Justitie van 21 juni 2013, Kamerstukken II 2012/13, 26643, nr. 282). Op 29 september 2017 heeft het kabinet de Kamer geïnformeerd een nieuw model in te voeren, het Model gegevensbeschermingseffectbeoordeling rijksdienst PIA (zie de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, Kamerstukken II 2017/18, 26643, nr. 490). Dit model is gebaseerd op de nieuwe Europese regelgeving, de Algemene verordening gegevensbescherming, de Richtlijn gegevensbescherming opsporing en vervolging en de mede daarop gebaseerde nationale regelgeving.

Het kabinetsbeleid geeft uitvoering aan de Motie Franken c.s. (Kamerstukken I 2010/11, 31051, D). Wanneer je beleid beoogt waarin persoonsgegevens worden gevraagd, verstrekt, bewerkt of uitgewisseld, vraagt deze motie om uitdrukkelijk aandacht te besteden aan de vraag of deze beperkingen op het grondrecht tot bescherming van de persoonlijke levenssfeer gerechtvaardigd zijn. Het helpt de overheid te anticiperen op reacties vanuit de samenleving op de mogelijke impact op de privacy van een voornemen. Een PIA is hiervoor het meest geëigende instrument. Het doel van een PIA is de bescherming van persoonsgegevens onderdeel te maken van het afwegingsproces bij de beleidsvorming. De resultaten van de PIA worden in de toelichting bij het voorstel verwerkt.

Toepassing 

In het Model gegevensbeschermingseffectbeoordeling rijksdienst PIA (bijlage bij Kamerstukken II 2017/18, 26643, nr. 490) vind je meer informatie over de PIA, bijvoorbeeld in welke gevallen een PIA verplicht is, wie verantwoordelijk is voor de uitvoering ervan en hoe je dit moet doen. Een PIA moet volgens het model worden uitgevoerd bij:

  1. de ontwikkeling van beleid en regelgeving die betrekking hebben op verwerkingen van persoonsgegevens of waaruit verwerkingen van persoonsgegevens voortvloeien; en
  2. voorgenomen verwerkingen van persoonsgegevens die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van betrokkenen (artikel 35 van de Algemene verordening gegevensbescherming).

In de Algemene verordening gegevensbescherming is vastgelegd welke ruimte je hebt bij het verzamelen en verwerken van persoonsgegevens. Voor de beantwoording van de vraag of de beperkingen op het grondrecht tot bescherming van de persoonlijke levenssfeer gerechtvaardigd zijn, dient de voorgenomen regelgeving te worden getoetst aan de noodzaak, effectiviteit en hanteerbaarheid van de maatregel. Daarnaast is de proportionaliteit van belang: de inbreuk mag niet groter zijn dan strikt noodzakelijk is.

Leg voorgenomen wet- en regelgeving ter advisering voor aan de Autoriteit Persoonsgegevens indien sprake is van verwerking (zie artikel 36, vierde lid, van de Algemene verordening gegevensbescherming).

Meer informatie

Kenmerken
KenmerkToelichting
Voor wieWetgevingsjuristen en beleidsmedewerkers binnen rijksoverheid
EigenaarMinisterie van Binnenlandse Zaken en Koninkrijkrelaties en Ministerie van Justitie en Veiligheid

Contact 

Neem voor meer informatie contact op met:

Relevante toetsingsinstanties
Relevante toetsingsinstantiesToelichting
BZK grondwetIndien er een grondrecht in het geding is.
JenV rijksbrede wetgevingstoetsingInclusief uitvoerbaarheid en handhaafbaarheid (U&H)
Relevante IAK-vragen
Relevante IAK-vragen
6 Wat is het beste instrument?

Naar overzicht verplichte kwaliteitseisen

Laatst gewijzigd op: 13-5-2020