Feedback
ella
Verwerkingen met verplichte Gegevensbeschermingseffectbeoordeling: lijst gepubliceerd
Uit het Belgisch Staatsblad van 22/03/2019
Gepubliceerd op 02/04/2019

Gegevensbeschermingseffectbeoordeling (GEB)

De Algemene Verordening Gegevensbescherming (AVG) verplicht een onderneming om in bepaalde omstandigheden een Gegevensbeschermingseffectbeoordeling (GEB) uit te voeren.

 

Een GEB is een procedure om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te nemen om deze risico’s te verkleinen.

 

Wanneer verplicht?

De verwerkingsverantwoordelijke moet een voorafgaande GEB uitvoeren voor verwerkingen die een ‘waarschijnlijk hoog risico’ met zich meebrengen.

 

De AVG somt zelf een aantal gevallen op waarin zich dergelijke risico’s voordoen.

 

Iedere toezichthoudende autoriteit moet bovendien een lijst opstellen van het soort verwerkingen waarvoor een GEB verplicht is.

De Gegevensbeschermingsautoriteit heeft nu haar lijst gepubliceerd. Je kan deze hier terugvinden.

 

De verwerkingsverantwoordelijke die één van de opgesomde verwerkingen overweegt, is vanaf 1 april 2019 verplicht een GEB uit te voeren voordat hij de verwerking aanvat.

 

De lijst is evolutief. De Gegevensbeschermingsautoriteit kan deze aanpassen of actualiseren.

 

Let op!

Wanneer een type verwerkingsactiviteit niet voorkomt in de lijst, betekent dit niet automatisch dat een onderneming geen GEB moet uitvoeren. De lijst somt alleen de gevallen op waarvoor er zeker een GEB moet gebeuren.

Wat betekent dit voor de werkgever?

De Gegevensbeschermingsautoriteit publiceerde een lijst met het soort verwerkingen waarvoor een GEB zeker verplicht is.

 

Voor een ‘gewone’ werkgever bevat deze lijst geen verrassingen.

Bron:
Beslissing van het Algemeen secretariaat nr. 1/2019 van 16 januari 2019, BS 22 maart 2019, p. 28512.

Juridische inhoud

1. Wat is een GEB?

Een GEB (of voluit gegevensbeschermingseffectbeoordeling) is een procedure om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te nemen om deze risico’s te verkleinen.

 

De verwerkingsverantwoordelijke moet een voorafgaande GEB uitvoeren voor verwerkingen die een ‘waarschijnlijk hoog risico’ met zich meebrengen. Ook de verwerker wordt mogelijks betrokken.

 

Wanneer er een functionaris voor gegevensbescherming is aangesteld, moet de verwerkingsverantwoordelijke hem om advies vragen.

2. Wanneer is een GEB verplicht?

2.1.Algemene regel: waarschijnlijk hoog risico

 

Een onderneming moet een GEB uitvoeren wanneer de gegevensverwerking een 'waarschijnlijk hoog risico' inhoudt voor de rechten en vrijheden van natuurlijke personen.

 

De ‘Werkgroep artikel 29’ ontwikkelde negen criteria om uit te maken of er al dan niet sprake is van een waarschijnlijk hoog risico.

 

Meer bepaald gaat men na of de beoogde verwerking aan minstens 2 van volgende criteria beantwoordt:

  • Evaluatie of beoordeling van persoonlijke eigenschappen (bv. seksuele voorkeur)
  • Geautomatiseerde besluitvorming
  • Systematisch monitoren (bv. camerabewaking)
  • Verwerking van gevoelige gegevens
  • Grootschalige verwerking
  • Combineren van gegevens uit verschillende bronnen
  • Gegevensverwerking van kwetsbare betrokkenen (bv. kinderen, personen die niet in staat zijn om voor hun rechten op te komen)
  • Ontwikkelen van nieuwe technologieën
  • Wanneer als gevolg van de verwerking zelf betrokkenen een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst

 

Wanneer een beoogde verwerking aan meerdere criteria beantwoordt (twee of meer), is het doorgaans aangewezen dat de verwerkingsverantwoordelijke een GEB uitvoert.

 

2.2. Verwerkingen waarvoor een GEB al dan niet verplicht is door de AVG

 

2.2.1. Verwerkingen waarvoor een GEB verplicht is

 

Daarnaast somt de Algemene Verordening Gegevensbescherming (AVG) zelf drie gevallen op waarbij het uitvoeren van een GEB verplicht is. Namelijk in geval van:

  • systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, waaronder profilering, waarop besluiten worden gebaseerd die een natuurlijke persoon wezenlijk treffen;

  • grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten;

  • stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten (vooral bedoeld voor cameragebruik).

 

2.2.2. Verwerkingen waarvoor een GEB niet verplicht is

 

De AVG voorziet twee omstandigheden waarin de verplichting tot het uitvoeren van een GEB mogelijks niet van toepassing is. Meer bepaald wanneer de voorgenomen verwerking noodzakelijk is:

  • om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust; en

  • voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.

 

Opdat deze uitzondering van toepassing zou zijn, is vereist dat:

  • de verwerking haar rechtsgrond heeft in het Unierecht of in het recht van de lidstaat dat op de verwerkingsverantwoordelijke van toepassing is;

  • de specifieke verwerking of geheel van verwerkingen in kwestie daarbij wordt geregeld;

  • er reeds een GEB is uitgevoerd als onderdeel van een algemene effectbeoordeling in het kader van de vaststelling van deze rechtsgrond.

 

2.3. Lijst Gegevensbeschermingsautoriteit

 

Iedere toezichthoudende autoriteit moet bovendien een lijst opstellen van het soort verwerkingen waarvoor een GEB verplicht is.

 

De Gegevensbeschermingsautoriteit (GBA) publiceerde nu haar lijst. Je kan deze lijst hier terugvinden.

 

De verwerkingsverantwoordelijke die één van de opgesomde verwerkingen overweegt, is vanaf 1 april 2019 verplicht een GEB uit te voeren voordat hij de verwerking aanvat.

 

De lijst is evolutief. De GBA kan deze aanpassen of actualiseren.

 

Let op!

Wanneer een type verwerkingsactiviteit niet voorkomt in de lijst, betekent dit niet automatisch dat een onderneming geen GEB moet uitvoeren. De lijst somt alleen de gevallen op waarvoor er zeker een GEB moet gebeuren.

 

Voor een 'gewone' werkgever bevat deze lijst geen verrassingen.

3. Extra informatie

De Gegevensbeschermingsautoriteit heeft op haar website een ‘themadossier AVG’ aangemaakt.

 

Men gaat ook uitgebreid in op de GEB. Op deze pagina kan je dan ook heel wat informatie gebundeld terugvinden, waaronder:

  • een ‘moet ik een GEB uitvoeren?’-schema;

  • hoe een GEB uitvoeren;

  • verdere uitleg hoe je kan bepalen of er sprake is van een waarschijnlijk hoog risico;

  • een informatief filmpje

Oeps,

Onze excuses, er is iets fout gelopen.

Probeert u het later eens opnieuw.

Was deze informatie nuttig voor u?

Ja Nee

Welke van de volgende beschrijft jouw feedback het best?






Jouw feedback

De versie van de browser die U gebruikt is niet optimaal voor deze website. De meeste functies zullen niet goed werken. De versie die u gebruikt wordt ook niet meer ondersteund door Microsoft en hierdoor loopt u security risico’s. Om de veiligheid en privacy van uw data te kunnen blijven garanderen, raden wij aan om zo snel mogelijk naar Internet Explorer 11 te upgraden of de laatste versie van een andere browser te gebruiken.