Wanneer een verwerking van persoonsgegevens, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dan is de verwerkingsverantwoordelijke verplicht om vóór de verwerking een beoordeling uit te voeren van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.
Met vorenstaande omschrijving kunt u waarschijnlijk vrij weinig. Er wordt immers niet aangegeven wanneer dan sprake is van een waarschijnlijk hoog risico, noch worden daartoe concrete aanknopingspunten geboden.
Gelukkig noemt de AVG wel een aantal voorbeelden waarbij een gegevensbeschermingseffectbeoordeling met name vereist is, zodat aan de hand daarvan enig inzicht wordt verkregen in de reikwijdte van de verplichting. De beoordeling is met name vereist indien:
- er sprake is van een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijk personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd met rechtsgevolgen of daarmee vergelijkbare gevolgen;
- er sprake is van grootschalige verwerking van bijzondere categorieën van persoonsgegevens (waaronder etnische afkomst, politieke opvattingen en religieuze overtuigingen);
- er sprake is van stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
Omdat men kennelijk inzag dat ook het voorgaande onvoldoende concreet is, heeft “De groep voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens” op 4 april 2017 de “Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking “waarschijnlijk een hoog risico inhoudt” in de zin van Verordening 2016/679” geformuleerd. Het maar liefst 29 pagina’s tellende document verschaft nader inzicht in de gevallen waarin een gegevensbeschermingseffectbeoordeling is vereist. Het is evenwel een illusie om te denken dat dit document de gevallen uitputtend regelt.
Indien de conclusie is dat er een gegevensbeschermingseffectbeoordeling uitgevoerd dient te worden, dient de daadwerkelijke beoordeling ten minste het navolgende te bevatten:
- een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden;
- een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de te dienen doeleinden;
- een beoordeling van de geconstateerde risico’s voor de rechten en vrijheden van betrokkenen;
- de beoogde maatregelen om de risico’s aan te pakken (organisatorische en technische veiligheidsmaatregelen).
Voor ondernemers die veel met gegevens van natuurlijke personen werken is het verstandig om ten minste te (laten) controleren of het uitvoeren van een gegevensbeschermingseffectbeoordeling is vereist. Ook voor wat deze verplichting betreft heeft immers te gelden dat het aan de betreffende verwerkingsverantwoordelijke is om aan te tonen dat aan de bepalingen van de AVG wordt voldaan.
Mocht u vragen hebben naar aanleiding van dit artikel, of reeds vooruitlopend op de aankomende artikelen nadere informatie wensen over de impact die de AVG op uw organisatie zal hebben, dan kunt u daartoe contact opnemen met de heer mr. R.A. Stoks (0495-536138 / rstoks@abenslag.nl).
