Wanneer is een voorafgaande raadpleging nodig?
Als uit uw privacy impact assessment (PIA) naar voren komt dat de beoogde verwerking een hoog risico oplevert en het lukt niet om maatregelen te vinden om dit risico te beperken, dan moet u met de Autoriteit Persoonsgegevens (AP) overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. Om te bepalen of een voorafgaande raadpleging verplicht is, doorloopt u de volgende stappen:
- Als u bijvoorbeeld op grote schaal gezondheidsgegevens wilt verwerken, wordt dat gezien als een hoog risico. U moet dan een PIA uitvoeren;
- U beoordeelt wat de privacyrisico’s zijn voor de betrokkenen (de mensen van wie u gegevens wilt verwerken);
- Vervolgens stelt u maatregelen vast waarmee u deze risico’s kunt beperken en waarmee u aantoont aan de Algemene verordening gegevensbescherming (AVG) te voldoen. Lukt het u om deze maatregelen vast te stellen? Dan hoeft u geen voorafgaande raadpleging aan te vragen. Bijvoorbeeld: u wilt persoonsgegevens opslaan op laptops. U treft hierbij adequate technische en organisatorische beveiligingsmaatregelen, zoals encryptie (versleuteling) van de gegevens en toegangscontrole. Dit doet u in aanvulling op bestaand privacybeleid als de betrokkenen informeren over het verwerken van hun gegevens, toestemming vragen en inzage geven;
- Lukt het niet om deze maatregelen vast te stellen, dan moet u een voorafgaande raadpleging aanvragen bij de AP. Een voorbeeld van een onacceptabel hoog risico is als de verwerking aanzienlijke, of zelfs onomkeerbare, gevolgen heeft voor de betrokkenen, waartegen zij niets kunnen doen en/of wanneer het overduidelijk is dat het risico zal optreden.
Pro-abonnees downloaden gratis het Ebook met 167 vragen en antwoorden over Privacy-wetgeving / AVG-GDPR.