Je voert als verwerkingsverantwoordelijke een GEB uit voor een verwerking die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dat geldt in het bijzonder voor een verwerking waarbij nieuwe technologieën worden gebruikt. Deze risicobeoordeling moet dus altijd gebeuren (zie verder voor een tool daarvoor).

Artikel 35, lid 3 van AVG, legt zelf al enkele gevallen vast waarin een GEB verplicht is:

Daarnaast stelt de toezichthoudende autoriteit een lijst op van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling verplicht is, en maakt deze openbaar (zie verder).

De Vlaamse Toezichtcommissie heeft overeenkomstig artikel 35, lid 4, AVG, een lijst opgesteld voor van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling verplicht is voor de Vlaamse bestuursinstanties.

Dit is haar beslissing VTC/O/2020/01 van 14 januari 2020 betreffende de aanname van een DPIA-lijst.

Zij heeft daarbij rekening gehouden met de richtsnoeren van de Groep Gegevensbescherming Artikel 29 (“Working Party 29” intussen “European Data Protection Board”) van 4 oktober 2017 over de Gegevensbeschermingseffectbeoordeling.

De verwerkingsverantwoordelijke moet vóór de verwerking het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens beoordelen.

Ook bij het opstellen van wet- of regelgeving kan al een GEB uitgevoerd worden. De criteria voor een verplichte GEB zijn daarbij richtinggevend. In België vervangt deze GEB niet die die de verwerkingsverantwoordelijke voor de verwerking moet uitvoeren.

Bij sommige adviesvragen over ontwerpwetgeving of projecten is het aangewezen om een GEB voor te leggen aan de VTC, zodat die meer inzicht krijgt in de geplande verwerkingen, de risico’s en de maatregelen.

Een GEB moet herbekeken worden als er een belangrijke verandering is aan de verwerking.

Tool voor het beoordelen van risico’s voor de betrokkenen

Aan de hand van deze tool kan een verwerkingsverantwoordelijke beoordelen wat het effect is van een verwerking op risico’s voor de rechten en vrijheden van natuurlijke personen. Deze tool helpt bovendien in de verantwoording dat genomen maatregelen volstaan om het risico op nadelige effecten te beperken.

Deze tool werd in 2017 voor de VTC ontwikkeld door de Thomas More Hogeschool.

De tool helpt bij het bepalen of een DPIA moet worden uitgevoerd en geeft ook een aanzet voor het opstellen van een GEB/DPIA.

Tool risicocriteria: dit is een excelbestand dat u kan opvragen bij het secretariaat van de VTC.

De VTC heeft een sjabloon voor het uitvoeren van een gegevensbeschermingseffectbeoordeling (GEB/DPIA) uitgewerkt.

Ze heeft dit gedaan omdat er enerzijds vraag naar was van verwerkingsverantwoordelijken en functionarissen voor gegevensbescherming en anderzijds haar verschillende GEB werden voorgelegd die niet in gelijke mate voldeden aan de vereisten van de AVG.

Het sjabloon is relatief eenvoudig en kan in een beperkte en in een meer uitgebreide vorm ingevuld worden, afhankelijk van de geplande verwerking. Er wordt bij elk hoofdstuk aangegeven of het minimaal vereist is of niet.

Het sjabloon is gebaseerd op een model dat werd opgesteld door de VUB.

Het gebruik van dit sjabloon is niet verplicht. Het sluit zo nauw mogelijk aan bij de vereisten van artikel 35, AVG en dient in dat opzicht wel om de GEB die aan de VTC worden voorgelegd te kunnen beoordelen.

Als u feedback wil geven op het model kan u het secretariaat van de VTC contacteren. Vermeld “DPIA-sjabloon”