Het beoordelen van de privacyrisico's, hoog risico

Uit NORA Online
ISOR:Het beoordelen van de privacyrisico's- hoog risico
Ga naar: navigatie, zoeken
Logo ISOR normen (een hangslot met de tekst ISOR norm)
Bovenliggende principe
Meer in normenkader èn aspect
Alle normen
Alle normenkaders
ISOR

Stelling

Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een GEB uitgevoerdAVG art. 35 lid 1..

Een GEB wordt in een zo vroeg mogelijk stadium uitgevoerd; in ieder geval voordat over wordt gegaan tot de verwerking van persoonsgegevens. Zo kunnen gegevensbeschermings¬maatregelen vooraf al in het ontwerp worden meegenomen. Dit voorkomt dat achteraf blijkt dat de gegevensverwerking niet voldoet aan de verplichtingen die volgen uit de Avg inzake het treffen van passende technische en organisatorische maatregelen om onrechtmatige gegevensverwerkingen te voorkomen. Op deze manier kunnen ook kosten worden bespaard: het meenemen van beveiligings¬maatregelen bij de ontwikkeling van een ICT-systeem is goedkoper dan het achteraf aanpassen ervan. Bovendien kunnen schadevergoedingen worden vermeden, omdat adequate maatregelen zijn genomen om te voorkomen dat voorzienbare risico's zich daadwerkelijk voordoen.

Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden.

De GEB bevat ten minste:

  1. een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
  2. een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
  3. een beoordeling van de hierboven genoemde risico's, en:
  4. de beoogde maatregelen om de risico's aan te pakken; waaronder waarborgen, veilig-heidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en aan te tonen dat aan de Avg is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.

Een GEB in verband met een hoog risico is met name vereist in de volgende gevallen c.q. bij de volgende risico'sAVG art. 35 lid 3.:

  1. een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;
  2. grootschalige verwerking van bijzondere categorieën van persoonsgegevens (U.01/04, §2.2.1 of Avg art. 9, lid 1) of van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd met betrekking tot strafrechtelijke veroordelingen en strafbare feiten (U.04/05, §2.2.4) of Avg art. 10), of:
  3. stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

Dit dient met name te gelden voor grootschalige verwerkingen die bedoeld zijn voor de verwerking van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau, waarvan een groot aantal betrokkenen gevolgen zou kunnen ondervinden en die bijvoorbeeld vanwege hun gevoelige aard een hoog risico met zich kunnen brengen wanneer conform het bereikte niveau van technologische kennis een nieuwe technologie op grote schaal wordt gebruikt, alsmede voor andere verwerkingen die een groot risico voor de rechten en/of vrijheden van de betrokkenen inhouden, met name wanneer betrokkenen als gevolg van die verwerkingen hun rechten moeilijker kunnen uitoefenen.

Een GEB dient ook te worden uitgevoerd wanneer persoonsgegevens worden verwerkt met het oog op het nemen van besluiten met betrekking tot specifieke natuurlijke personen na een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op de profilering van deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of na de verwerking van bijzondere categorieën van persoonsgegevens, biometrische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

Een GEB is ook nodig voor de grootschalige bewaking van openbaar toegankelijke ruimten, met name wanneer optisch elektronische apparatuur wordt gebruikt of voor alle andere verwerkingen wanneer de AP oordeelt dat zij waarschijnlijk een groot risico inhouden voor de rechten en vrijheden van betrokkenen, met name omdat betrokkenen als gevolg van deze verwerkingen een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst of omdat deze verwerkingen systematisch op grote schaal worden uitgevoerd.

Bovenliggende principe(s)

Deze norm realiseert het privacyprincipe Risicomanagement, Privacy by Design en de GEB via de conformiteitsindicator het beoordelen van de privacyrisico's.

Grondslag

Persoonlijke instellingen
Naamruimten

Varianten