Gegevensbeschermingseffectbeoordeling - Aanbeveling Gegevensbeschermingsautoriteit

Geschreven door Lexalert
Foto: Daniel Ullrich  

Eén van de nieuwe verplichtingen in de AVG betreft de verplichting tot het uitvoeren – in bepaalde omstandigheden – van een “gegevensbeschermingseffectbeoordeling” (GEB). De Gegevensbeschermingsautoriteit (voorheen Privacycommissie) publiceerde hierover volgende aanbeveling. 

Een GEB is een proces dat bedoeld is om de verwerking van persoonsgegevens te beschrijven, de noodzaak en evenredigheid ervan te beoordelen en de daaraan verbonden risico's voor de rechten en vrijheden van natuurlijke personen te helpen beheren door deze risico's in te schatten en maatregelen te bepalen om ze aan te pakken.

Het opzet van de huidige aanbeveling is om verdere duiding te bieden wat betreft:

  • de omstandigheden wanneer een GEB verplicht is (afdeling 3);
  • de essentiële onderdelen van een GEB (afdeling 5);
  • de omstandigheden waarin een voorafgaande raadpleging verplicht is (afdeling 6);
  • de actoren die bij een GEB betrokken dienen te worden (afdeling 7);
  • een aantal bijzondere bepalingen (afdeling 8).

Een eerder ontwerp van deze aanbeveling werd voorgelegd ter publieke consultatie van 20 december 2016 tot 28 februari 2017. De Privacycommissie ontving 31 inzendingen als reactie op de publieke consultatie, goed voor 132 opmerkingen. De huidige aanbeveling houdt rekening met de opmerkingen en suggesties die door bedrijven, sectorfederaties, overheidsinstanties en academici werden geformuleerd, alsook met de finale versie van de richtsnoeren van de Groep Gegevensbescherming Artikel 29 die in oktober 2017 werden uitgevaardigd.

In vergelijking met het ontwerp dat ter publieke consultatie werd voorgelegd, zijn de voornaamste aanpassingen:

1. aanvulling in het licht van definitieve versie van de richtsnoeren GEB van de Werkgroep Artikel 29, in het bijzonder wat betreft:

  • de 9 criteria om uit te maken of een verwerking "waarschijnlijk een hoog risico inhoudt";
  • de essentiële onderdelen van een GEB;
  • bestaande verwerkingsactiviteiten.

2. verduidelijking wat betreft bestaande machtigingen

3. aanpassing van de ontwerplijsten van het soort verwerkingen waarvoor (g)een GEB vereist is.

Ander interessant artikel: GDPR compliance voor advocaten

Lees de volledige tekst van de aanbeveling nr. 01/2018 van 28 februari 2018