Please select a page template in page properties.

Gegevensbeschermingseffectbeoordeling

De uitzonderingen voor onderzoek betekenen dat het dus toch mogelijk is om binnen bepaalde kaders met gevoelige persoonsgegevens te werken. Maar deze uitzonderingen brengen ook enkele verplichtingen met zich mee. Hier behandelen we de twee belangrijkste verplichtingen.

Verplichting 1: 'Privacy officer consulteren'

De eerste verplichting is dat indien een onderzoeker gevoelige persoonsgegevens binnen een onderzoek wil verwerken, de onderzoeker altijd een privacy officer binnen de instelling (zoals een Functionaris Gegevensbescherming) moet consulteren. Wellicht kan het onderzoek prima doorgang vinden in de gewenste vorm, maar alleen en altijd in overleg met de privacy officer binnen de instelling: deze beslissing mag de onderzoeker niet zelf nemen.

De privacy officer zal samen met de onderzoeker bepalen welke aanvullende maatregelen en waarborgen er nodig zijn om een goede bescherming van de gevoelige persoonsgegevens te garanderen. Daarnaast zal de privacy officer binnen de gegevensbeschermingseffectbeoordeling een toets doen op de ‘Artikel 5’ principes, waarover meer in hoofdstuk 3: AVG.

Verplichting 2: 'Gegevensbeschermingseffectbeoordeling'

De tweede verplichting bij het werken met gevoelige persoonsgegevens binnen een onderzoek is het uitvoeren van een ‘Gegevensbeschermingseffectbeoordeling’, in het Engels een ‘Data Protection Impact Assessment’ genoemd (afgekort tot ‘DPIA’). De AVG omschrijft in artikel 35.1 een ‘Gegevensbeschermingseffectbeoordeling’ als volgt:

Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden.

Een gegevensbeschermingseffectbeoordeling brengt dus de mogelijke risico’s binnen het onderzoek in beeld en biedt de onderzoeker een oplossingsrichting voor de te nemen maatregelen. Het uitvoeren van een gegevensbeschermingseffectbeoordeling is in principe bij ieder onderzoek wenselijk om uit te voeren, maar is voorafgaand aan het opstellen van het onderzoeksplan of de onderzoeksaanvraag op straffe van een boete verplicht indien er gevoelige persoonsgegevens in een onderzoek een rol spelen. De uitkomst van een gegevensbeschermingseffectbeoordeling biedt inzicht in de te nemen (aanvullende) maatregelen. 

Aanvullende maatregelen die mogelijk noodzakelijk zijn kunnen bestaan uit beveiligingsmaatregelen zoals pseudonimisering, anonimiseren, end-to-end encryptie, etc. Artikel 32 AVG geeft een opsomming van de mogelijke maatregelen. De AVG geeft daarbij alleen aan dat een onderzoeker maatregelen moet nemen en noemt daarbij specifiek encryptie en pseudonimisering als voorbeelden, maar er zijn allerlei maatregelen mogelijk, afhankelijk van de context van het onderzoek. Deze maatregelen moeten volgens de AVG overigens wel proportioneel zijn; het aanschaffen van een kostbaar encryptiesysteem waarmee een onderzoeker alleen de voornamen van deelnemers kan verbergen schiet het doel voorbij, zoals aangegeven in Grond 83 AVG:

Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de aan de verwerking inherente risico's te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico's te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen persoonsgegevens.

Let op: indien het onderzoek valt binnen een bestaande categorie van verwerking van de gevoelige persoonsgegevens (met andere woorden: het onderzoek wordt op vergelijkbare wijze uitgevoerd als eerdere onderzoeken waarvoor al een gegevensbeschermingseffectbeoordeling is gedaan), dan is een nieuwe gegevensbeschermingseffectbeoordeling niet nodig, aangezien men dan de conclusies inzake de te nemen maatregelen mag overnemen.