Các tổ chức phải thực hiện PIA để tuân thủ GDPR, nhưng mô hình ISRA truyền thống chưa tích hợp rõ ràng quy trình PIA.

   - Mô hình pISRA gồm 4 bước:

     • Xác định dịch vụ và quy trình

     • Xác định tài sản và dữ liệu PII

     • Phân tích tác động quyền riêng tư

     • Đánh giá rủi ro

   - Phân tích tác động quyền riêng tư dựa trên 5 yếu tố:

     • Độ nhận dạng (identifiability): phân loại D, I, P, A với trọng số và ngưỡng nâng cấp

     • Độ nhạy cảm (sensitivity): ví dụ shopping detail = 0.9, call detail = 1.0

     • Số lượng dữ liệu (quantity): log10(N+2)

     • Mục đích sử dụng (context of use): đánh giá theo mức độ ảnh hưởng

     • Độ mới dữ liệu (freshness): dữ liệu cập nhật thường xuyên có rủi ro cao hơn

   - Công thức tính tác động quyền riêng tư tổng thể:  

     • Ipia = ∑ Wk với k ∈ {u, i, s, n, f}

   - Đánh giá rủi ro:  

     • Rpii = T × max(Ipia, Iuser)  

     • T: xác suất xảy ra rủi ro, Iuser: tác động do người dùng đánh giá

   - Ưu điểm:

     • Cho phép đánh giá rủi ro bảo mật thông tin có xét đến quyền riêng tư

     • Giúp tổ chức chọn ra các mục tiêu rủi ro cần xử lý

     • Tuân thủ GDPR và ISO/IEC 27001:2013

   - Hạn chế: chưa triển khai thực tế, cần kiểm nghiệm mô hình trong môi trường tổ chức thật

   - Đề xuất: phát triển hệ thống tích hợp pISRA, cải tiến quy trình nhận diện PII