Effectbeoordeling inzake gegevensbescherming

Voordat u persoonsgegevens verwerkt, moet u, als verwerkingsverantwoordelijke, nagaan of de verwerking al dan niet een groot risico inhoudt voor de vrijheden en rechten van de betrokkenen. Zo ja, dan bent u verplicht om vóór aanvang van uw verwerking een GEB uit te voeren, waarvan de uitkomst eveneens kan leiden tot de conclusie dat een voorafgaande raadpleging van de GBA noodzakelijk is.


Artikel 35 van de AVG legt aan de verwerkingsverantwoordelijke onder andere als verplichting op dat vóór de verwerking een gegevensbeschermingseffectbeoordeling moet worden uitgevoerd wanneer die verwerking een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze procedure laat toe om zowel de risico's in te schatten als de manier waarop deze kunnen worden beheerd.

Om uw GEB uit te voeren, dient u indien nodig de hulp in te roepen van uw FGB, maar ook, indien nodig, het advies in te winnen van de betrokkenen of hun vertegenwoordigers over het onderwerp van de voorgenomen verwerking.

Uw GEB onderwerpt uw voorgenomen verwerking aan een beoordeling van de mogelijke hoge risico's die deze voor de betrokkenen kan inhouden, in het licht van alle rechten en vrijheden die zij genieten. Eén GEB kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden. U moet de bijzondere waarschijnlijkheid en ernst van het hoge risico beoordelen, rekening houdend met de aard, de omvang, de context en het doel van de verwerking en met de bronnen van het risico. Uw GEB moet onder meer de maatregelen, waarborgen en mechanismen omvatten die worden voorgenomen om dit risico te beperken, de bescherming van persoonsgegevens te waarborgen en de naleving van de AVG aan te tonen.
 

Om te bepalen of u al dan niet een GEB moet uitvoeren, moet u onder meer rekening houden met de soorten en het aantal persoonsgegevens, de categorieën en het aantal betrokkenen, de aard, de context, de omvang en het doel van de verwerking, het gebruik van nieuwe technologieën en de categorieën personen die er toegang toe kunnen hebben.

Uit voorzorg en om uw verwerkingsactiviteiten te documenteren kunt u al uw voorgenomen verwerkingen van persoonsgegevens onderwerpen aan een GEB.

Dit is echter steeds verplicht in 3 gevallen.

Ten eerste, in het licht van artikel 35.3 van de AVG, indien uw voorgenomen verwerking betrekking heeft op:

  • een beoordeling van persoonlijke aspecten zoals profilering, gevolgd door een beslissing over de betrokken natuurlijke persoon,
  • een grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9 of 10 van de AVG,
  • een stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

Verder, indien uw voorgenomen verwerking is opgenomen in de lijst van verwerkingen waarvoor een GEB verplicht is, lijst die door de GBA is aangenomen overeenkomstig artikel 35.4 van de AVG.

Ten slotte, indien uw voorgenomen verwerking niet in de bovengenoemde lijst van soorten verwerkingen voorkomt, moet deze nog steeds worden onderworpen aan een voorafgaand GEB indien zij voldoet aan de criteria die zijn vastgesteld door de Werkgroep Artikel 29 om te bepalen of een verwerking een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen.

U bent verplicht om, voordat u met uw verwerking van start gaat, de GBA te raadplegen, als uit uw GEB een hoog restrisico naar voren komt.

Niet voor alle verwerkingen waarvoor een voorafgaande GEB wordt uitgevoerd, is een voorafgaand advies van de gegevensbeschermingsautoriteit vereist.

U moet, voordat u met uw verwerking van start gaat, de GBA raadplegen, wanneer uit uw GEB blijkt dat de voorgenomen verwerking een hoog restrisico inhoudt. Er is sprake van dergelijk risico wanneer het blijft voortbestaan ondanks de maatregelen die u hebt genomen of zult nemen om het risico te beperken.

U dient dan het Formulier - Voorafgaande raadpleging in te vullen en hierbij aan de GBA alle informatie te verstrekken die nuttig is voor de analyse ervan. De GBA zal advies uitbrengen over het (de) vastgestelde risico('s) en de voorgestelde maatregelen in het licht van de voorgenomen verwerking.

Interessante links