Gegevensbescherming door ontwerp en gegevensbeschermingseffectbeoordeling (GEB)

Maak je vertrouwd met de begrippen “gegevensbescherming door ontwerp” en “gegevensbeschermingseffectbeoordeling”, beter gekend als Privacy by design en Data Protection Impact Assessment (DPIA).

Ga na hoe je deze concepten in de werking van jouw bedrijf of organisatie kan implementeren. Deze kunnen worden gelinkt aan andere organisatorische processen zoals risicobeheer en projectbeheer. Beoordeel de situaties waarin het nodig is dergelijke analyses uit te voeren. Wie zal dit doen? Wie moet hierbij wor den betrokken? Gebeurt de analyse centraal of lokaal? Het behoorde altijd al tot de “good practices” van een bedrijf of organisatie om gegevensbescherming van bij de start in te bouwen en als onderdeel hiervan een effectbeoordeling uit te voeren. De nieuwe privacywetgeving maakt hiervan een duidelijke wettelijke vereiste.

Noteer dat je niet steeds een GEB moet uitvoeren. Deze is enkel vereist in hoge risicosituaties, bijv. wanneer een nieuwe technologie wordt geïmplementeerd of wanneer een profileringsoperatie een aanzienlijk effect kan teweegbrengen voor de betrokkenen. Wanneer de GEB aangeeft dat de gegevensverwerking een “hoog risico” inhoudt en dit ondanks maatregelen genomen ter beheersing van het “hoog risico” (met andere woorden er is een “hoog residueel risico”), is het noodzakelijk het advies in te winnen van de toezichthoudende autoriteit omtrent de wetmatigheid van de verwerking in het licht van de nieuwe privacywetgeving.