GDPR: aangepaste GEB-plicht vanaf 1 april
Verwerkingsverantwoordelijken zijn op basis van de GDPR-verordening verplicht om vóór bepaalde gegevensverwerkingen een gegevensbeschermingseffectbeoordeling (GEB) uit te voeren. Een procedure om te evalueren of de gegevensverwerking risico's inhoudt voor de rechten en vrijheden van de persoon wiens data wordt verwerkt en hoe men die risico's kan beheersen. De Richtlijn Politie & Justitie (2016/680) legt een gelijkaardige verplichting op.
Europese lijst
De GDPR-verordening bevat zelf een lijst met situaties waarin een GEB altijd verplicht is. Bijvoorbeeld bij stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten of bij een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die gebaseerd is op geautomatiseerde verwerking (o.a.. profilering) en waarop besluiten zijn gegrond waaraan voor de betrokkene rechtsgevolgen zijn verbonden.
Nationale lijst
Maar Europa vraagt ook aan de nationale toezichthoudende autoriteiten van de lidstaten om een lijst op te stellen met verwerkingen waarvoor een GEB wel of niet vereist is. In 2018 heeft de Privacycommissie voor het eerst zo'n nationale lijst opgesteld. Die wordt nu vervangen door een nieuwe lijst. Dit keer uit handen van de Gegevensbeschermingsautoriteit. Hier en daar zijn de omschrijvingen aangepast en verfijnd, een enkele keer inhoudelijk vernieuwd. Bijvoorbeeld wat betreft de verwerkingen wanneer gezondheidsgegevens van een betrokkene op geautomatiseerde wijze worden ingezameld aan de hand van een actieve inplantbare medische voorziening. De nieuwe lijst geldt vanaf 1 april 2019.
Overzicht
Bron: Beslissing van het Algemeen secretariaat nr. 1/2019 van 16 januari 2019, BS 22 maart 2019.