Gegevensbeschermingseffectbeoordeling

Onder de AVG is het in bepaalde omstandigheden verplicht een “GEB” (of DPIA in het Engels) uit te voeren. Een GEB is een procedure om te evalueren of een verwerking van persoonsgegevens risico’s inhoudt voor de rechten en vrijheden van de persoon wiens data wordt verwerkt en hoe men deze risico’s kan beheersen. Deze nieuwe verplichting roept een aantal praktische vragen op.

WAAROM?

HOE?

De verplichting tot het uitvoeren van een GEB is ontwikkeld tegen de achtergrond van richtlijn 95/46/EG, die voorzag in een algemene verplichting om iedere verwerking van persoonsgegevens aan de toezichthoudende autoriteit te melden. Die verplichting leidde tot administratieve en financiële lasten, zonder daarmee noodzakelijkerwijze het beschermingsniveau voor de persoonsgegevens te verbeteren.

Het systeem legt daarom het accent op de verplichting van de verwerkingsverantwoordelijke om een voorafgaande GEB uit te voeren voor verwerkingen die een “waarschijnlijk hoog risico” met zich meebrengen en op de maatregelen die kunnen worden genomen om deze risico's te verminderen.

 

Een GEB moet minstens de volgende elementen bevatten:

  • een gedetailleerde en duidelijke beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden. Het register van verwerkingsactiviteiten kan hier richtinggevend zijn;
  • een beoordeling van de noodzaak en de evenredigheid van de verwerkingen in functie van de doeleinden;
  • een beoordeling van de risico's voor de rechten en vrijheden van betrokkenen;
  • de beoogde maatregelen om de risico's aan te pakken.

WANNEER?

WIE?

Het uitvoeren van een GEB is slechts verplicht wanneer de gegevensverwerking, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Daarnaast lijst de AVG een aantal gevallen op waarbij het uitvoeren van een GEB verplicht is:

  • ingeval van systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, waaronder profilering, waarop besluiten worden gebaseerd die een natuurlijke persoon wezenlijk treffen;
  • ingeval van grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten;
  • ingeval van stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

De AVG biedt aan nationale toezichthouders de mogelijkheid om lijsten op te stellen.

De verplichting tot het uitvoeren van een GEB rust in eerste instantie op de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke zorgt er voor dat de juiste personen binnen de onderneming betrokken worden bij het risico-beoordelingsproces. Denk hierbij in eerste instantie aan:

  • de functionaris voor de gegevensbescherming en/of veiligheidsconsulent;
  • de ontwikkelaars van nieuwe toepassingen;
  • zij die strategische beslissingen nemen inzake projectontwikkeling;
  • de personeelsleden (of hun vertegenwoordigers) die gebruik zullen maken van de persoonsgegevens bij de uitoefening van hun taken.

Rol van de verwerker

De verwerker dient, afhankelijk van de aard van de verwerking, aan de verwerkingsverantwoordelijke bijstand te verlenen bij het uitvoeren van een GEB. Dit moet overigens ook uitdrukkelijk worden bepaald in de verwerkingsovereenkomst tussen de verwerkingsverantwoordelijke en de verwerker.

De toezichthoudende autoriteit zal bij de beoordeling van deze bijstandsplicht van de verwerker rekening houden met:

  • de aard van de verwerking;
  • de informatie die ter beschikking van de verwerker staat;
  • de opportuniteit van de bijstand vanwege de verwerker om te komen tot een volwaardige en correcte risicobeoordeling en -beheersing.

Rol van de FG

Het is vanzelfsprekend dat de functionaris voor gegevensbescherming (FG) - wanneer die is aangeduid - de verwerkingsverantwoordelijke bijstaat en adviseert bij het uitvoeren een GEB. De AVG bepaalt dit ook uitdrukkelijk.

Aangezien de verwerkingsverantwoordelijke alle nodige maatregelen dient te nemen om ervoor te zorgen dat de juiste personen binnen de onderneming betrokken worden bij het risicobeoordelingsproces, zou het onwenselijk zijn dat de FG geheel op eigen houtje, zonder inbreng van de relevante actoren, een GEB opstelt. De rol van de FG is daarom in eerste instantie een adviesrol. Daarnaast dient de FG ook toe te zien op de correcte uitvoering van de maatregelen die uit de GEB voortkomen.

Rol van de betrokkenen

De beslissing om al dan niet de betrokkenen te raadplegen (of hun vertegenwoordigers) komt in de eerste plaats toe aan de verwerkingsverantwoordelijke. Zijn beslissing is evenwel onderhevig aan een marginale controle vanwege de toezichthoudende autoriteit. Het is voor de verwerkingsverantwoordelijke met andere woorden dus niet geheel vrijblijvend of de betrokkenen (of hun vertegenwoordigers) worden geraadpleegd.

Wanneer er voldoende zwaarwegende redenen bestaan om tot dergelijke raadpleging over te gaan, gelet op de aard, de omvang, de context en het doel van de verwerking, acht de toezichthoudende autoriteit het nodig dat dergelijke raadpleging ook daadwerkelijk plaatsvindt.