Nieuws & Blog
PIA en DPIA, hetzelfde of een wereld van verschil?
AVG (Nederlands) en GDPR (Engels) zijn hetzelfde en gebruiken een aantal afkortingen. Voorbeelden zijn PIA (Privacy Impact Analyse) en DPIA (Data Protection Impact Assessment), voor Analyse wordt ook Assessment gebruikt. In het Nederlands spreekt men ook wel over een Gegevensbeschermingseffectbeoordeling (GEB), vergelijkbaar met de DPIA. De termen worden vaak door elkaar heen gebruikt, maar een PIA en DPIA zijn zeker niet hetzelfde. Wat is het verschil?
Het eerste onderscheid is dat de PIA wettelijke verplicht is, daar moet dus een vastlegging van beschikbaar zijn in uw organisatie. De AVG stelt dit verplicht voor elke organisatie die persoonsgegevens verwerkt en die verwerking een hoog privacy risico met zich meebrengt (dus als die verwerking kan leiden tot een inbreuk op de bescherming van persoonsgegevens). En er is meer …
Verschil PIA en DPIA
De PIA is een proces om Privacy by Design te beschermen wanneer er nieuwe activiteiten worden ontwikkeld; dat kan bijvoorbeeld door een overname, de ontwikkeling van een nieuw product of implementatie van nieuwe processen. Een PIA start zo vroeg mogelijk voor de start, en stelt vast of en welk risico u loopt.
De DPIA is een continu proces, voortdurend toetst u of en hoe er voldaan wordt aan wet- en regelgeving.U identificeert en minimaliseert risico’s rond verwerking van persoonlijke gegevens, essentieel om compliant te zijn en blijven.
Er zijn ook overeenkomsten tussen de twee, in de basis:
- Definiëren ze context bij verwerken persoonlijke gegevens;
- Borgen ze instrumenten voor controle compliance;
- Stellen ze eventuele privacy risico’s vast;
- Valideren ze beveiligingsmaatregelen.
DPIA en PIA zijn betrekkelijk eenvoudig te organiseren. Dat hoeft niet veel tijd te kosten, het vraagt juiste kennis en toewijzing van taken en verantwoordelijkheden. Deze processen zijn vaak deels uit te besteden, een Service Level Agreement (SLA) borgt een passende Data Protection oplossing. Zo is de organisatie compliant, én degelijk voorbereid door de juiste escalatie en de-escalatie processen rond GDPR.