Welke methode dient men te gebruiken bij het inschatten en beheer van risico’s?

Terug naar het FAQ-overzicht

In principe beslist de verwerkingsverantwoordelijke vrij over de methode die hij wenst te hanteren, op voorwaarde dat deze beantwoordt aan een aantal minimumkenmerken van betrouwbaarheid en objectiviteit, en rekening houdt met de minimale elementen die de AVG voorschrijft.

De Autoriteit is van oordeel dat een behoorlijk risicobeheer een aantal minimale kenmerken heeft. Maar het is belangrijk dat iedere verwerkingsverantwoordelijke die een GEB onderneemt, een werkwijze hanteert die aangepast is aan de noden en context van haar eigen onderneming.

Bovendien raadt de Autoriteit aan dat de verwerkingsverantwoordelijke zich baseert op reeds bestaande (internationale) standaarden inzake risicobeheer, zoals deze ontwikkeld door de Internationale Organisatie voor Standaardisatie (ISO) of de gedragscodes ontwikkeld of erkend op Europees niveau.

Ongeacht welke werkwijze uiteindelijk door de verwerkingsverantwoordelijke gekozen wordt, de Autoriteit vindt het noodzakelijk dat de verwerkingsverantwoordelijke deze keuze uitdrukkelijk aangeeft en dat deze op een consistente wijze wordt toegepast doorheen heel het proces van de GEB.