In welke gevallen moet een gegevensverwerkingen gemeld worden bij de Autoriteit Persoonsgegevens?

Wanneer een verwerking gepaard gaat met een verhoogd risico voor de rechten en vrijheden van natuurlijke personen, is de organisatie verplicht om een melding te maken bij de Autoriteit Persoonsgegevens (AP). Van een verhoogd risico kan sprake zijn wanneer een aanzienlijke hoeveelheid personen nadelige gevolgen kan ondervinden of wanneer het gaat om gegevens van gevoelige aard. Hierbij kan worden gedacht aan een gemeente die de persoonsgegevens van haar inwoners zal gaan gebruiken in een nieuw administratiesysteem. Na de melding zal de AP vervolgens zelf een onderzoek opstarten en kijken of deze voldoet aan de eisen van de Wet bescherming persoonsgegevens (Wbp). Pas na goedkeuring van de AP mag de verwerking vervolgens worden uitgevoerd.
Vanaf mei 2018 zijn organisaties zelf verplicht om een Data Protection Impact Assessment (DPIA) te laten uitvoeren. Hierbij zal dan moeten worden geëvalueerd wat de oorsprong, aard, het specifieke karakter en de ernst van de risico’s zijn. Aan de hand van de resultaten zullen vervolgens maatregelen moeten worden genomen om een juiste verwerking van de persoonsgegevens te kunnen garanderen. Mogelijke maatregelen kunnen zijn dat er door de organisatie minder gegevens opgevraagd mogen worden of dat de organisatie de kwaliteit van zijn beveiligingssoftware zal moeten verbeteren.
Wanneer een DPIA uitwijst dat een verwerking gepaard gaat met mogelijk grote risico’s die redelijkerwijs niet kunnen worden beperkt door de organisatie, moet vóór de specifieke verwerking contact op worden genomen met de AP. Dit zou bijvoorbeeld kunnen voorkomen wanneer het voor een organisatie financieel niet haalbaar is om aan de veiligheidsvereisten van de verwerking van persoonsgegevens te voldoen.
Word pro

Pro-abonnees downloaden gratis het Ebook met 167 vragen en antwoorden over Privacy-wetgeving / AVG-GDPR.