BWBR0040915
Geldig vanaf 2018-05-25
Artikel 3
Regeling AVG Defensie
1. Een Privacy Impact Assessment wordt geïnitieerd:
a. door de proceseigenaar van een IT-dienst bij de ontwikkeling van een IT-dienst waarmee verwerking van persoonsgegevens is gemoeid die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van betrokkenen; of
b. door de betrokken beleidsdirectie bij de ontwikkeling van beleid en regelgeving waaruit verwerkingen van persoonsgegevens voortvloeien.
2. De Privacy Impact Assessment wordt conform het Model gegevensbeschermingseffect-beoordeling rijksdienst (PIA) uitgevoerd.
3. Na het doorlopen van de Privacy Impact Assessment wordt het advies ingewonnen van de functionaris voor gegevensbescherming.
4. Wanneer naar het oordeel van de functionaris voor gegevensbescherming uit de Privacy Impact Assessment blijkt dat de verwerking een hoog risico als bedoeld in artikel 36, eerste lid, AVG oplevert, wordt de Autoriteit persoonsgegevens geraadpleegd, door tussenkomst van de functionaris voor gegevensbescherming.
5. De vaststelling van de Privacy Impact Assessment geschiedt door de in het eerste lid, bedoelde functionaris.
6. Een afschrift van de vastgestelde Privacy Impact Assessment wordt gezonden aan de functionaris voor gegevensbescherming en de hoofddirecteur bedrijfsvoering.
a. door de proceseigenaar van een IT-dienst bij de ontwikkeling van een IT-dienst waarmee verwerking van persoonsgegevens is gemoeid die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van betrokkenen; of
b. door de betrokken beleidsdirectie bij de ontwikkeling van beleid en regelgeving waaruit verwerkingen van persoonsgegevens voortvloeien.
2. De Privacy Impact Assessment wordt conform het Model gegevensbeschermingseffect-beoordeling rijksdienst (PIA) uitgevoerd.
3. Na het doorlopen van de Privacy Impact Assessment wordt het advies ingewonnen van de functionaris voor gegevensbescherming.
4. Wanneer naar het oordeel van de functionaris voor gegevensbescherming uit de Privacy Impact Assessment blijkt dat de verwerking een hoog risico als bedoeld in artikel 36, eerste lid, AVG oplevert, wordt de Autoriteit persoonsgegevens geraadpleegd, door tussenkomst van de functionaris voor gegevensbescherming.
5. De vaststelling van de Privacy Impact Assessment geschiedt door de in het eerste lid, bedoelde functionaris.
6. Een afschrift van de vastgestelde Privacy Impact Assessment wordt gezonden aan de functionaris voor gegevensbescherming en de hoofddirecteur bedrijfsvoering.