What are you looking for?

General Data Protection Regulation (GDPR)

The new European privacy legislation has been in place since 25 May 2016: the General Data Protection Regulation (GDPR). This also has consequences for higher education and research. Institutions have to respond well on time and SURF helps them do this.

AVG verordening

Impact- en riskassessment

In the GDPR, assessing the impact of a processing operation on the protection of personal data plays a major role. This can be done with a PIA, a Privacy Impact Assessment. SURF has drawn up a PIA as a guideline.

Privacy Impact Assessment

Als er gewerkt wordt met persoonsgegevens, kan door het doen van een PIA al vroeg bepaald worden of er aanvullende maatregelen moeten worden genomen om een inbreuk op iemands persoonlijke levenssfeer te vermijden of te verminderen. De PIA speelt een belangrijke rol bij de introductie van nieuwe systemen en processen waarbij persoonsgegevens verwerkt worden. Als voorbereiding op de AVG heeft de werkgroep PIA vanuit de initiatiefgroep Privacy Hoger Onderwijs een model-PIA opgesteld. Andere termen voor de PIA zijn: Data Protection Impact Assessment (DPIA) of Gegevensbeschermingseffectbeoordeling (GEB). De documenten op deze webpagina zijn al eerder opgesteld en op de Wbp gebaseerd.

Model-PIA

Er komen steeds meer modellen op de markt die privacyrisico's in een vroeg stadium op een gestructureerde en concrete manier in beeld kunnen brengen. Deze zijn echter niet altijd toegesneden op onderwijs en onderzoek. De werkgroep heeft dan ook een model-PIA ontwikkeld die is toegesneden op de praktijk van het hoger onderwijs. De PIA 2.0 is beschikbaar via de interne website van SCIPR, de SURF Community voor Informatiebeveiliging en Privacy. Door de macro's in het bestand, is het niet mogelijk de PIA via deze website ter beschikking te stellen. Heb je interesse in dit document, neem dan contact op met SCIPR. 

PIA als onderdeel van compliance

Een PIA is er vooral op gericht om risico’s voor de rechten en vrijheden van betrokkenen in kaart te brengen en deze risico's zoveel mogelijk te beperken. Dit laatste kan door extra maatregelen te nemen en extra waarborgen te bieden. Maar met alleen een PIA ben je er niet. In de model-PIA staan maatregelen die op basis van de AVG verplicht zijn, maar het uitvoeren van de PIA staat niet gelijk aan het volledig voldoen aan de eisen die de AVG stelt.

Bedenk daarom goed of je naast het uitvoeren van een PIA ook voldoende aandacht hebt besteed aan de overige eisen en verplichtingen uit de AVG. Lees meer over de beginselen en onderwerpen uit de AVG

Deliverables / werkdocumenten

Naast deze werkdocumenten is ook nog beschikbaar: