De GDPR legt strenge regels op aan wie persoonsgegevens verwerkt. In artikel 35 van de GDPR is bijvoorbeeld de verplichting tot een gegevensbeschermingseffectbeoordeling (ook bekend onder de namen GEB of DPIA, een Data Protection Impact Assessment) opgenomen. Voor wie zo’n beoordeling wenst uit te voeren, is er nu een nieuw DPIA-voorbeeld of -sjabloon beschikbaar.
Verplicht uitvoeren van een DPIA
Bij een DPIA of een GEB dient men voorafgaand aan de verwerking een beoordeling uit te voeren met betrekking tot het effect dat deze verwerking heeft op de bescherming van de persoonsgegevens. Het hoofddoel is met andere woorden dat de risico’s worden blootgelegd en dat er uiteraard ook maatregelen worden getroffen om deze risico’s te beperken en beheersbaar te maken.
Of en wanneer zo’n GEB nodig is, is eveneens in artikel 35 te lezen. Het bepaalt dat een beoordeling nodig is wanneer een soort verwerking, zeker als er nieuwe technologieën worden gebruikt, een hoog risico inhoudt voor de rechten en vrijheden van personen. Vervolgens benoemt het artikel een aantal voorbeelden van situaties waarbij een GEB in ieder geval nodig is, bijvoorbeeld bij de stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. Ook bevat het artikel allerlei criteria waaraan de beoordeling dient te voldoen. Bij het nieuwe DPIA-voorbeeld is hier rekening mee gehouden.
Handig DPIA-voorbeeld voor het uitvoeren van een beoordeling
In de praktijk bestond er al langer onduidelijkheid omtrent hoe zo’n beoordeling eruit diende te zien, onder andere omdat er geen DPIA-voorbeeld beschikbaar was. Artikel 35 van de GDPR is namelijk niet meteen een kant-en-klare handleiding en bevat zelf geen DPIA-voorbeeld. Het is eerder juridische pietpraat, met veel verwijzingen naar andere artikelen die het allemaal niet eenvoudiger maken. Daarom heeft de GBA (Gegevensbeschermingsautoriteit) in het verleden al lijsten en handleidingen opgesteld. Ook de VTC (Vlaamse Toezichtcommissie) en de Werkgroep Gegevensbescherming Artikel 29 stelden al een lijst en richtsnoeren op. Een concreet DPIA-voorbeeld was er echter nog niet.
Nu heeft de Vlaamse Toezichtcommissie voor het eerst ook een kant-en-klaar model opgesteld dat hiervoor kan worden gebruikt. Met behulp van het DPIA-voorbeeld is het mogelijk om een GEB uit te voeren dat aan alle wettelijke eisen voldoet. Het gebruik van het DPIA-voorbeeld is voor alle duidelijkheid niet verplicht, maar het DPIA-voorbeeld kan wel een grote hulp zijn voor wie zelf een GEB wenst uit te voeren.