De Algemene Verordening Gegevensbescherming (AVG of GDPR) heeft een nieuw principe toegevoegd, de verantwoordingsplicht. Dit betekent dat de verwerkingsverantwoordelijke zal moeten analyseren en inschatten wat de risico's zijn van een bepaalde verwerking en hoe deze risico's zo veel mogelijk te beperken zodat de bescherming van de rechten en vrijheden van de betrokkenen en van zijn persoonsgegevens gewaarborgd blijven.


De digitalisering biedt heel wat meer mogelijkheden en voordelen bij het (innovatief) verwerken van persoonsgegevens, maar er is gebleken dat de bescherming van persoonsgegevens soms naar achter werd geschoven. De AVG heeft hierop ingespeeld door het verplichten van het opstellen van een gegevensbeschermingseffectboordeling of data protection impact assessment (DPIA).

De Gegevensbeschermingseffectbeoordeling of DPIA gaat hand in hand met de principes van gegevensbescherming door ontwerp en door standaardinstellingen die in stap 10 zullen worden toegelicht. De Gegevensbeschermingsautoriteit stelt tevens dat het tot de 'good practices' behoort van een onderneming om stil te staan bij de bescherming van persoonsgegevens en dergelijke impact- en risicoanalyses te voeren.

Wanneer een effectbeoordeling uitvoeren ?

Het is echter niet steeds vereist om een impactanalyse uit te voeren. Een DPIA is enkel verplicht wanneer een bepaalde verwerking waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. De risico-beoordeling zal geval per geval moeten gebeuren en voorafgaandelijk aan de start van een bepaalde verwerking.

De AVG omschrijft drie gevallen wanneer een DPIA verplicht is :

  • Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op geautomatiseerde verwerking, waaronder profiling, en waarop besluiten worden gebaseerd die rechtsgevolgen voor de natuurlijke persoon met zich meebrengen
  • Grootschalige verwerking van bijzondere categorie gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten
  • Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten†

De Working Party art. 29 (WP29) heeft bijkomende richtlijnen gegeven over wanneer nu juist een Data Protection Impact Assessment vereist is en wat een dergelijke analyse moet bevatten. De WP29 is na 25 mei 2018 de European Data Protection Board (EDPB) geworden en is het overkoepelend overlegorgaan op Europees niveau waar de nationale gegevensbeschermingsautoriteiten tot gezamenlijke aanbevelingen en richtsnoeren komen.

De EDPB heeft verschillende criteria (of risico's) vooropgesteld om te beoordelen of een verwerking een hoog risico is voor de rechten van de personen. Vanaf het ogenblik dat aan twee of meer criteria zijn voldaan, is het volgens de EDPB vereist een DPIA uit te voeren. De criteria zijn de volgende:

  • Evaluatie of scoretoekenning
  • Geautomatiseerde besluitvorming met rechtsgevolgen voor de betrokkene
  • Stelselmatig monitoren
  • Verwerken van gevoelige gegevens of gegevens van zeer persoonlijke aard
  • Op grote schaal
  • Matching of samenvoegen van datasets
  • Persoonsgegevens van kwetsbare personen
  • Innovatief gebruik/nieuwe technologische toepassing voor het verwerken van persoonsgegevens
  • Betrokkenen kunnen rechten moeilijk uitoefenen†

Ook de Belgische Gegevensbeschermingsautoriteit is reeds actief geweest door enkele voorbeelden te geven wanneer de verwerkingsverantwoordelijke een impactanalyse moet uitvoeren:

  • Gebruik van biometrie bij de identificatie van personen.
  • Persoonsgegevens worden verkregen door een derde en op basis daarvan wordt beslist om diensten te verlenen of stop te zetten.
  • Beoordeling financiŽle solvabiliteit om het risicoprofiel van de betrokkene te bepalen en te beslissen tot dienstverlening
  • Het verwerken van financiŽle of gevoelige gegevens die (her)gebruikt worden voor andere doeleinden dan waarvoor ze verzameld werden (behalve wanneer gebaseerd op toestemming of een wettelijke verplichting).
  • Meerdere verwerkingsverantwoordelijken zijn van plan om een gemeenschappelijke applicatie- of verwerkingsomgeving in te voeren voor een hele sector, of een segment daarvan, en waarbij gebruik gemaakt wordt van gevoelige gegevens.†

De Gegevensbeschermingsautoriteit heeft tevens aangegeven wanneer het niet vereist is :

  • Loonadministratie waarbij persoonsgegevens enkel aan ontvangers worden overgemaakt die daartoe gerechtigd zijn.
  • Verwerkingen van personeelsgegevens voor zover het geen gezondheids-, gevoelige-, of gerechtelijke persoonsgegevens betreffen.
  • Houden van de boekhouding voor zover de gegevens enkel voor boekhoudkundige doeleinden worden verwerkt.
  • Administratie van aandeelhouders en vennoten.
  • Registratie van bezoekers voor zover niet meer persoonsgegevens dan nodig worden verwerkt (naam bezoeker, werkgever + adres werkgever, tijdstip).†

Inhoud van een effectbeoordeling ?

Een verwerkingsverantwoordelijke die een AVG-conforme DPIA opstelt, dient (i) een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden te bevatten waarbij (ii) een beoordeling wordt gemaakt van de noodzaak en de proportionaliteit van de verwerking in het kader van het specifieke doeleinde en (iii) waarbij de risico's voor de rechten en vrijheden van de betrokkenen wordt beoordeeld. Tenslotte zal de verwerkingsverantwoordelijke in de DPIA (iv) de beoogde maatregelen moeten beschrijven die de risico's zouden moeten beperken. Deze maatregelen omvatten de waarborgen, veiligheidsmaatregelen en andere mechanismen om de bescherming van de persoonsgegevens te garanderen. †

Tussenkomst Gegevensbeschermingsautoriteit en/of betrokkenen ?

De AVG schrijft de mogelijkheid voor dat de verwerkingsverantwoordelijke de betrokkenen kan raadplegen over een beoogde verwerking om te begrijpen of een bepaalde verwerking als privacy-invasief zal worden beschouwd en hoe de bescherming van persoonsgegevens beter te garanderen.

Wanneer uit de gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om de risico's te beperken, zal deze verwerkingsverantwoordelijke de gegevensbeschermingsautoriteit moet consulteren. De autoriteit zal een advies formuleren wanneer de risico's onvoldoende beperkt zijn.

Actiepunten:

  • Stel een data protection impact assessment op wanneer een nieuw project wordt opgestart of wanneer een bestaande verwerking wordt aangepast waarbij er waarschijnlijk een risico bestaat bij de verwerking van hun persoonsgegevens.

  • Vraag de Data Protection Officer (of een persoon verantwoordelijk binnen de onderneming voor deze materie) om zijn advies.

  • Consulteer de Gegevensbeschermingsautoriteit wanneer de verwerking een hoog risico inhoudt.

  • Het GDPR Compass omvat twee uitgebreide rubrieken om te beoordelen of een verwerking risico's inhoudt en om te bepalen of een data protection impact assessment vereist is.

Neem deel aan de Agoria Academy Data Protection voor meer uitleg over de DPIA.
Klik hier voor meer info

Lees ook de andere artikels in deze blogreeks: