Gegevensbeschermingseffectbeoordeling (GEB)

Hoe bepalen of er sprake is van een waarschijnllijk hoog risico?

Wat moet worden beschouwd als een hoog risico is steeds gebaseerd op een concrete afweging door de verwerkingsverantwoordelijke.

Deze kan hierbij gebruik maken van een combinatie van enerzijds de richtlijnen van de toezichthouders en anderzijds gekende risicolijsten en methodes om een gepaste risico-evaluatie te verrichten, in het licht van de verwerkingen van de verantwoordelijke.

De richtlijnen van de toezichthouders houden rekening met de diverse bepalingen in de AVG die een op risico gebaseerde aanpak inhouden (“risk based approach”)

De Werkgroep artikel 29 heeft 9 criteria ontwikkeld om uit te maken of er al dan niet sprake is van een waarschijnlijk hoog risico, m.n.:

  1. Evaluatie of beoordeling van persoonlijke eigenschappen
  2. Geautomatiseerde besluitvorming
  3. Systematisch monitoren
  4. Gevoelige gegevens
  5. Grootschalige verwerking
  6. Combineren van gegevens uit verschillende bronnen
  7. Kwetsbare betrokkenen
  8. Nieuwe technologieën
  9. Uitsluiting

Wanneer een beoogde verwerking aan meerdere criteria beantwoordt (twee of meer), is het doorgaans aangewezen dat de verwerkingsverantwoordelijke een GEB uitvoert.

Voor meer informatie zie:

Moet een aan de AVG aangepaste privacyverklaring aan de Autoriteit voorgelegd worden ter goedkeuring?

Nee.

Raadpleging van de Autoriteit is enkel vereist wanneer de DPIA een hoog residueel risico aanduidt (verwijzing naar aanbeveling uit eigen beweging DPIA).

Wat is een “waarschijnlijk hoog risico” voor de rechten en vrijheden van natuurlijke personen in het kader van de GEB?

De AVG verwijst naar “de risico's voor de rechten en vrijheden van natuurlijke personen” maar omschrijft dit begrip niet. Volgens de Werkgroep artikel 29 hebben deze woorden voornamelijk betrekking op het recht op privacy, maar zij kunnen ook betrekking hebben op andere fundamentele rechten en vrijheden, zoals de vrijheid van meningsuiting, vrijheid van gedachte, geweten en godsdienst, het verbod op discriminatie en het recht op vrijheid van beweging.

Ook de nieuwe wetgeving geeft een aantal voorbeelden van verwerkingen die aanleiding geven tot risico’s voor de rechten en vrijheden van natuurlijke personen:

  • waar de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaan making van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel;
  • wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen;
  • wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt, en bij de verwerking van genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen;
  • wanneer persoonlijke aspecten worden geëvalueerd om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, om persoonlijke profielen op te stellen of te gebruiken;
  • wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt;
  • wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.

Bron: artikel 35.1 AVG en overweging 75

Welke methode dient men te gebruiken bij het inschatten en beheer van risico’s?

In principe beslist de verwerkingsverantwoordelijke vrij over de methode die hij wenst te hanteren, op voorwaarde dat deze beantwoordt aan een aantal minimumkenmerken van betrouwbaarheid en objectiviteit, en rekening houdt met de minimale elementen die de AVG voorschrijft.

De Autoriteit is van oordeel dat een behoorlijk risicobeheer een aantal minimale kenmerken heeft. Maar het is belangrijk dat iedere verwerkingsverantwoordelijke die een GEB onderneemt, een werkwijze hanteert die aangepast is aan de noden en context van haar eigen onderneming.

Bovendien raadt de Autoriteit aan dat de verwerkingsverantwoordelijke zich baseert op reeds bestaande (internationale) standaarden inzake risicobeheer, zoals deze ontwikkeld door de Internationale Organisatie voor Standaardisatie (ISO) of de gedragscodes ontwikkeld of erkend op Europees niveau.

Ongeacht welke werkwijze uiteindelijk door de verwerkingsverantwoordelijke gekozen wordt, de Autoriteit vindt het noodzakelijk dat de verwerkingsverantwoordelijke deze keuze uitdrukkelijk aangeeft en dat deze op een consistente wijze wordt toegepast doorheen heel het proces van de GEB.

Welke zijn de te nemen maatregelen om de risico’s te verminderen?

Een GEB omvat niet enkel een beoordeling van risico’s, maar bevat ook de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan de AVG is voldaan. Pas nadat de beoogde beschermingsmaatregelen in rekening worden gebracht, is men in staat om het resterende risico van de voorgenomen verwerking in te schatten.

Kunnen meerdere verwerkingsverantwoordelijken een gezamenlijke GEB uitvoeren?

Ja. Onder bepaalde omstandigheden kan het nuttig zijn dat de GEB zich niet beperkt tot een enkel project, bijvoorbeeld wanneer overheidsinstanties of -organen een gemeenschappelijk applicatie- of verwerkingsplatform willen opzetten of wanneer meerdere verwerkingsverantwoordelijken van plan zijn een gemeenschappelijke applicatie- of verwerkingsomgeving in te voeren voor een hele bedrijfstak, of een segment daarvan.

In dat geval moedigt de Autoriteit de verwerkingsverantwoordelijken aan om op gezamenlijke basis een GEB uit te voeren (indien de uitvoering van een GEB vereist is.) Dit geldt ook voor verwerkingsverantwoordelijken die omwille van hun activiteiten onderdeel uitmaken van een overkoepelende organisatie of vereniging (zoals bijv. scholen, sportclubs, jeugdbewegingen, artsen, advocaten, journalisten, …) wanneer ieder van deze verwerkingsverantwoordelijken een reeks vergelijkbare verwerkingen wil doorvoeren die vergelijkbare hoge risico's inhouden.

Wanneer is een voorafgaande raadpleging bij de toezichthoudende autoriteit verplicht? Wat houdt dit in?

Enkel wanneer blijkt dat de geplande verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen doeltreffende risico-beperkende maatregelen zou nemen, dient de verwerking voorafgaandelijk te worden voorgelegd aan de toezichthoudende autoriteit. Indien het risico voldoende beperkt kan worden aan de hand van passende technische en organisatorische maatregelen, dient er géén voorafgaande raadpleging plaats te vinden.

Als de toezichthoudende autoriteit meent dat de geplande verwerking niet in overeenstemming is met de AVG of dat de risico's onvoldoende zijn gekend of beperkt, geeft zij, binnen een maximumtermijn van acht weken na de ontvangst van het verzoek om raadpleging schriftelijk advies aan de verwerkingsverantwoordelijke (en/of de verwerker), en mag zij al haar in artikel 58 van de AVG bedoelde bevoegdheden uitoefenen. Die termijn vanacht weken kan met zes weken worden verlengd. De termijnen kunnen worden opgeschort totdat de toezichthoudende autoriteit alle informatie heeft verkregen die zij met het oog op de raadpleging heeft verzocht.

Wanneer een voorafgaande raadpleging verplicht is, verstrekt de verwerkingsverantwoordelijke de volgende informatie:

  • indien van toepassing, de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijke, bij de verwerking betrokken gezamenlijke verwerkingsverantwoordelijken en verwerkers, in het bijzonder voor verwerking binnen een concern;
  • de doeleinden en de middelen van de voorgenomen verwerking;
  • de maatregelen en waarborgen die worden geboden ter bescherming van de rechten en vrijheden van betrokkenen uit hoofde van deze verordening;
  • indien van toepassing, de contactgegevens van de functionaris voor gegevensbescherming;
  • de gegevensbeschermingseffectbeoordeling; 
  • alle andere informatie waar de Autoriteit om verzoekt.

Bron: artikel 36 AVG

Is de uitvoering van een GEB verplicht bij verwerkingen op grond van een wettelijke verplichting of algemeen belang?

De AVG voorziet twee omstandigheden waarin de verplichting tot het uitvoeren van een GEB mogelijks niet van toepassing is, m.n.:

  • wanneer de voorgenomen verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust; en
  • wanneer de voorgenomen verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.

Opdat deze uitzondering van toepassing zou zijn, is echter vereist dat:

  • de verwerking haar rechtsgrond heeft in het Unierecht of in het recht van de lidstaat dat op de verwerkingsverantwoordelijke van toepassing is;
  • de specifieke verwerking of geheel van verwerkingen in kwestie daarbij wordt geregeld; en
  • er reeds als onderdeel van een algemene effectbeoordeling in het kader van de vaststelling van deze rechtsgrond een GEB is uitgevoerd.

Bovendien staat het de wetgever nog steeds vrij om te bepalen dat er nog steeds een GEB uitgevoerd dient te worden voorafgaand aan de verwerking.

De Autoriteit herinnert eraan dat zij, als toezichthoudende autoriteit, in principe dient geraadpleegd te worden tijdens de voorbereiding van een wetgevings- of regelgevingsmaatregel die betrekking heeft op de bescherming van persoonsgegevens. Het al dan niet bestaan van een voorafgaande raadpleging doet echter geen afbreuk aan de algemene verplichting van de verwerkingsverantwoordelijke om aan risicobeheersing te doen, De Autoriteit is van oordeel dat de uitvoering van een (aanvullende) GEB in bepaalde gevallen nog steeds opportuun of noodzakelijk kan zijn, in het bijzonder wanneer men tijdens de voorbereiding van een wetgevings- of regelgevingsmaatregel geen duidelijk zicht heeft op de gegevensverwerkingen die bij de uitvoering zullen plaatsvinden.

Bron: artikel 35 AVG

Welke rol spelen gedragscodes bij de beoordeling van een GEB?

De AVG bepaalt dat de lidstaten, de toezichthoudende autoriteiten, het Europees Comité voor gegevensbescherming (ECGB) en de Europese Gegevensbeschermingsautoriteit de opstelling van gedragscodes bevorderen die moeten bijdragen tot de juiste toepassing van de AVG. Hierbij wordt rekening gehouden met de specifieke kenmerken van de diverse sectoren en de specifieke behoeften van kleine, middelgrote en micro-ondernemingen.

De verwerkingsverantwoordelijke moet dergelijke gedragscodes in aanmerking nemen wanneer een GEB uitgevoerd wordt. De Autoriteit benadrukt dat de Europese Gegevensbeschermingsautoriteit, bepaalde gedragscodes, na de goedkeuring ervan door het ECGB, algemeen verbindend kan verklaren.

Bron: artikel 35 en 40 AVG

Hoe vaak moet een GEB herhaald worden?

De verwerkingsverantwoordelijke moet, waar nodig, nagaan of de verwerking overeenkomstig de GEB wordt uitgevoerd. Dergelijke toetsing dient minstens plaats te vinden wanneer sprake is van een verandering van het risico dat de verwerkingen inhouden.

Aangezien risico’s doorgaans evolueren met de tijd, acht de Autoriteit het opportuun dat de verwerkingsverantwoordelijke zelf een periodiek nazicht van de uitgevoerde GEB inbouwt. In het kader van een goed risicobeheer verwacht de Autoriteit dat de verwerkingsverantwoordelijke minstens om de 2 jaar een nazicht inbouwt. De Autoriteit raadt ook aan dat de uitkomst van het nazicht formeel ter goedkeuring van de directie- of kaderleden van de organisatie van de verwerkingsverantwoordelijke wordt voorgelegd.

Tot slot wijst de Autoriteit er op dat er ook andere omstandigheden zijn die aanleiding kunnen geven tot het herzien van een eerder uitgevoerde GEB, zoals een wijziging in de gebruikte verwerkingsmiddelen of een evolutie in de stand van de techniek (bijv. wanneer nieuwe technieken voor dataminimalisatie voorhanden zijn) of de ontdekking van een nieuwe kwetsbaarheid in beveiliging.

Geldt de verplichting tot het uitvoeren van een gegevensbeschermingseffectbeoordeling ook voor KMO’s? Is er enige samenhang met de verplichting tot het bijhouden van een register?

De verplichting tot het uitvoeren van een gegevensbeschermingseffectbeoordeling, in de gevallen bepaald door de AVG, geldt ook voor KMO’s.

De verplichting tot het uitvoeren van een gegevensbeschermingseffectbeoordeling staat ook los van de verplichting tot het bijhouden van een register van de verwerkingsactiviteiten. De uitzonderingen die van toepassing zijn op de verplichting tot het bijhouden van een register van verwerkingsactiviteiten zijn dan ook niet van toepassing op de verplichting tot het uitvoeren van een gegevensbeschermingseffectbeoordeling.

Verlies niet uit het oog – de plicht een register bij te houden geldt zonder uitzondering wanneer het waarschijnlijk is dat de verwerking een risico inhoudt voor de rechten en vrijheden van betrokkenen (art. 30(5) AVG).

De AVG voorziet enkel in een –  zeer beperkte – vrijstelling van gegevensbeschermingseffectbeoordeling.

De verwerking van persoonsgegevens van patiënten door een individuele arts of een andere zorgprofessional, net als de verwerking van persoonsgegevens van cliënten door een advocaat zijn twee voorbeelden waarin geen gegevensbeschermingseffectbeoordeling vereist is (zo blijkt uit overweging 91 AVG). Let op – deze gevallen kunnen niet zonder meer naar analogie gebruikt worden in andere situaties. Overweging 91 legt enkel de invulling van de begrippen “grootschalige verwerking van bijzondere categorieën van gegevens” (artikel 35(3)b) AVG) uit en laat onverlet de andere omstandigheden waarin het uitvoeren van een gegevensbeschermingseffectbeoordeling verplicht is.

Bron:

  • Artikel 35 AVG
  • Overweging 91 AVG

Meer info: