Découvrez nos solutions sans obligation d’achat
Dans le secteur des soins de santé australien, l’Office of the Australian Information Commissioner (OAIC) a produit un guide d’évaluation des facteurs relatifs à la vie privée (PIA) pour le secteur des soins de santé australien afin de décrire le processus d’évaluation des facteurs relatifs à la vie privée (Pia) pour les initiatives, les projets et les logiciels qui traitent des informations de santé personnelles et sensibles. Une évaluation des incidences sur la vie privée (PIA) évalue l’impact d’une initiative, d’un projet ou d’un logiciel sur la confidentialité et la sécurité des informations de santé personnelles ou sensibles (H-information) qui sont traitées par l’initiative ou le projet. Le règlement général sur la protection des données (RGPD) a été introduit en tant qu’art. 3. Il a été le précurseur des analyses d’impact sur la protection des données (AIPD) ultérieures, qui en l’occurrence sont désormais obligatoires, et de la loi sur la protection de la vie privée et des libertés civiles de 2014. Sources : 5,9,13,4]
Par exemple, le E. Government Act de 2002 impose aux agences fédérales de procéder à une évaluation des incidences sur la vie privée (EIVP) pour tous leurs projets, projets et logiciels de traitement des données. Les analyses d’impact sur la protection des données sont réalisées lorsque le traitement pourrait conduire à la protection de la vie privée et de la sécurité des informations de santé personnelles ou sensibles (informations H). Dans le GDPR, l’analyse d’impact sur la protection des données (DPIA) consiste à déterminer si les données traitées sont exposées au risque qu’elles conduisent à une violation de la vie privée ou de la sécurité ou à une violation du droit à la vie privée. Les évaluations d’impact sur la vie privée sont requises dans toutes les juridictions, que ce soit en Australie ou ailleurs, afin de protéger les informations personnellement identifiables et d’identifier les tactiques d’atténuation des risques pour une organisation. [Sources : 7,13,11,11]
Les systèmes informatiques et la collecte d’informations électroniques sont évalués par un sous-ensemble de HHS PIA, mais seulement pour ceux où les PII sont collectés uniquement par les employés de HHS, directement ou en tant que contractant. Cette analyse est complétée par une combinaison d’analyse des systèmes informatiques et d’évaluation de l’impact sur la vie privée (DIA). Sources : 3,3]
Recherchez des modèles et des outils d’évaluation des incidences sur la vie privée que vous pouvez utiliser pour simplifier ce processus et vous fournir un emplacement central où vos données peuvent être stockées et récupérées pour l’évaluation des incidences sur la vie privée. Utilisez-les pour modifier la manière dont vos informations personnelles sont collectées, utilisées et partagées pour les projets qui font déjà l’objet d’une évaluation des incidences sur la vie privée. Sources : 11,2]
Cela vous donnera un ou deux exemples d’incidences sur la vie privée que vous pourrez vérifier. Vous pouvez choisir d’inclure les autorisations nécessaires, les solutions d’atténuation des risques ou le formulaire présenté dans le rapport d’évaluation des incidences sur la vie privée. Passez en revue les étapes que vous devez suivre lorsque vous remplissez le modèle d’évaluation des incidences sur la vie privée et lorsque vous avez terminé votre évaluation des incidences sur la vie privée. L’évaluation d’impact sur la protection des données est soumise à l’Office de l’information et de la protection des données (OIPC). [Sources : 11,6,11,11]
Les administrateurs et leurs fournisseurs de services de DSE peuvent utiliser ce document pour soutenir l’évaluation des incidences sur la vie privée d’un système de DSE et pour étudier l’impact de cette évaluation sur leurs services. Vous devriez utiliser le modèle de rapport d’ÉFVP inclus pour résumer l’information des étapes précédentes. Sources : 12,6]
Si l’initiative est à un stade précoce de concept ou de conception et que les informations détaillées sont inconnues, le ministère ou l’autorité devrait envisager une évaluation de l’impact du système e-HR sur la protection des données et son impact potentiel sur la vie privée de ses utilisateurs, même si les détails de ces informations sont inconnus. Sources : 5]
Pour déterminer si une évaluation des facteurs relatifs à la vie privée est nécessaire, il est utile de remplir la fiche d’analyse préliminaire de la protection des données, qui est également jointe. Lorsque vous recherchez des informations sur l’impact d’un système E-HR sur vos informations personnelles, vous utiliserez souvent l’acronyme « PII », mais il est important de savoir ce qu’il faut prendre en compte lorsque vous essayez de déterminer si une PIA a été demandée par le projet. Les données personnelles ont un nom, et ce sont ces données qu’il faut prendre en compte lorsqu’on utilise la soumission de l’étude d’impact sur la protection des données pour effectuer une évaluation PIA, ainsi que toute autre information pertinente. [Sources : 12,11,11,11]
Si le projet ne traite pas de données personnelles et ne propose pas de changements aux pratiques existantes de traitement de l’information ou si les pratiques de protection des données ont été précédemment évaluées et jugées appropriées, une PIA sera nécessaire. Dans ce cas, il est recommandé d’effectuer une évaluation d’impact sur la protection des données avant d’effectuer des mises à jour ou des changements majeurs. Sources : 10,8]
Avant de commencer à collecter des informations pour l’analyse d’impact sur la protection des données, il faut que ces données soient cataloguées afin de fournir l’analyse nécessaire pour le rapport d’évaluation Pia. Une fois rassemblé toutes les données pour l’analyse d’impact sur la protection des données de la PIPA, il faut rassembler le rapport à la Commission européenne, au commissaire à la protection des données et aux droits des citoyens (PLC) et aux autres parties prenantes concernées. [Sources : 11,11]
Il faut un modèle d’évaluation de l’impact sur la vie privée pour recueillir les données nécessaires à une analyse de la vie privée PIA et à l’évaluation de l’impact sur la vie privée PIPA. Sources : 11]
Pour remplir cet objectif, la procédure d’analyse d’impact sur la protection des données doit présenter les caractéristiques suivantes : Comment déterminer quand vous devez effectuer un audit de protection des données, puis les exigences relatives à la réalisation d’une analyse d’impact sur la protection des données et la manière dont elle sera effectuée. Vous devez satisfaire à ces exigences avant d’effectuer vos évaluations d’impact sur la vie privée pour l’analyse de la vie privée PIA et l’évaluation de la vie privée PIPA. Sources : 11,1,8,0]
Sources:
- [0] : https://gdpr.eu/data-protection-impact-assessment-template/
- 1] : https://privacy.org.au/policies/pia/
- [2] : https://www2.gov.bc.ca/gov/content/governments/services-for-government/information-management-technology/privacy/privacy-impact-assessments
- [3] : https://www.hhs.gov/web/governance/digital-strategy/it-policy-archive/policy-for-privacy-impact-assessments.html
- [4] : https://en.wikipedia.org/wiki/Privacy_Impact_Assessment
- [5] : https://www.colleaga.org/article/country-specific-guidelines-conducting-privacy-impact-assessment
- [6] : https://informationmanagers.ca/how-long-to-do-a-pia/
- [7] : https://www.itgovernance.co.uk/blog/gdpr-six-key-stages-of-the-data-protection-impact-assessment-dpia
- [8] : https://hitachi-systems-security.com/why-data-privacy-is-critical-for-your-business-part-i/
- [9] : https://www2.education.vic.gov.au/pal/privacy-information-sharing/guidance/privacy-impact-assessments
- [10] : https://www.oic.qld.gov.au/guidelines/for-government/guidelines-privacy-principles/privacy-compliance/overview-privacy-impact-assessment-process/undertaking-a-privacy-impact-assessment
- [11] : https://www.airiodion.com/privacy-impact-assessment/
- [12] : https://taskroom.sp.saskatchewan.ca/how-do-i/protect-privacy/privacy-impact-assessment
- [13] : https://gdpr-info.eu/issues/privacy-impact-assessment/