Europees Comité voor gegevensbescherming geeft advies over ontwerplijsten GEB

Onder de nieuwe privacywetgeving, AVG, is het in bepaalde omstandigheden verplicht een “gegevensbeschermingseffectbeoordeling” - kortweg “GEB” (of DPIA in het Engels) uit te voeren. Een GEB is een procedure om te evalueren of een verwerking van persoonsgegevens risico’s inhoudt voor de rechten en vrijheden van de persoon wiens data wordt verwerkt en hoe men deze risico’s kan beheersen.

De AVG bepaalt in welke omstandigheden de uitvoering van een GEB verplicht is. Het uitgangspunt is dat het uitvoeren van een GEB slechts verplicht is wanneer de gegevensverwerking, gelet op de aard, de omvang, de context en de doeleinden daarvan, een waarschijnlijk hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Daarnaast verplicht de AVG iedere toezichthoudende autoriteit om op nationaal niveau een lijst op te stellen van het soort verwerkingen waarvoor een GEB verplicht is en om vervolgens deze lijst mee te delen aan het Europees Comité voor gegevensbescherming (ECGB) voor advies.

De Gegevensbeschermingsautoriteit maakte haar ontwerplijst  van het soort gegevensverwerkingen waarvoor een GEB verplicht is over aan het ECGB in juni 2018. Op 25 september 2018 nam het ECGB haar advies over deze ontwerplijst aan, samen met het advies over de ontwerplijsten van 21 andere autoriteiten.

Eens de Gegevensbeschermingsautoriteit de finale versie van dit advies ontvangt, beschikt zij over een periode van 2 weken om de ontwerplijst waar nodig aan te passen in het licht van dit advies De Gegevensbeschermingsautoriteit zal dan ook kort nadien de definitieve versie van haar lijst van het soort verwerkingen waarvoor een GEB verplicht is bekend maken.

Meer informatie over de GEB lees je in ons themadossier op de website.