PIA staat voor Privacy Impact Assessment. Een PIA is een analyse-instrument om de privacyrisico’s van nieuwe of bestaande wetten of persoonsgegevensverwerkingen te identificeren en te lokaliseren. Doel van de PIA is om op gestructureerde manier in kaart te brengen of privacybelangen goed zijn gewaarborgd zodat privacyschendingen kunnen worden voorkomen.
Vanaf 1 september 2013 is de overheid verplicht om een PIA uit te voeren bij nieuwe wetten en beleid waarmee privacybelangen zijn gemoeid. Vooralsnog is de PIA is geen wettelijke verplichting voor het bedrijfsleven maar met ingang van 25 mei 2018 komt hier verandering in: Vanaf die datum treedt namelijke de algemene verordening gegevensbescherming --een product van de Europese Unie-- in werking. Tot die tijd geldt in Nederland de Wet bescherming persoonsgegevens, maar werkgevers en dienstverleners doen er verstandig aan om alvast een PIA uit te voeren indien zij:
- systematisch en uitvoerig persoonlijke aspecten evalueren
- op grote schaal 'bijzondere persoonsgegevens' verwerken (denk hierbij bijvoorbeeld aan arbodiensten en verzekeraars die gezondheidsgegevens verwerken), of
- op grote schaal en systematisch mensen in een publiek toegankelijk gebied volgen (bijvoorbeeld met cameratoezicht).
De Autoriteit Persoonsgegevens zal een lijst opstellen van alle soorten verwerkingen waarbij de 'verwerker' verplicht is om een PIA uit te voeren. Voldoet u als dienstverleners aan bovenstaande criteria dan is het raadzaam om een PIA een vast onderdeel van uw compliance-strategie te laten uitmaken.
