Naleving
      Terug naar start
      1. Roseman Labs Kennisbank
      2. Risk & Compliance
      3. Naleving

      Gegevensbeschermingseffectbeoordeling (GEB)

      Roseman Labs is gebaseerd op de innovatieve techniek Multi-Party Computation (MPC). MPC maakt het mogelijk om analyses toe te passen op informatie uit meerdere bronnen, zodanig dat de gevoelige informatie beschermd blijft en niet onthuld wordt tijdens de analyse. 

      Hoewel MPC enorme voordelen biedt op het gebied van privacy en gegevensbescherming, is het van belang om te zorgen dat MPC rechtmatig en verantwoord wordt gebruikt. 

      Het doel van dit artikel is om veel gestelde vragen over het GEB-proces te behandelen. 

      Wat is een GEB? 

      Artikel 35 van de AVG definieert een GEB als volgt: 

      " Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden." 

      Het doel van een GEB is om te voldoen aan de AVG om de privacy (de rechten en vrijheden van individuen met betrekking tot hun persoonsgegevens) te beschermen. 

      Moet ik een GEB opstellen? 

      Het is belangrijk om te bepalen of je een GEB moet uitvoeren. Met deze evaluatie beoordeel je de specifieke omstandigheden van jouw gegevensverwerkingsactiviteiten. 

      Je moet een GEB uitvoeren als je: 

      • Gevoelige gegevens verwerkt: persoonsgegevens, zoals gezondheidsinformatie, biometrische gegevens of gegevens die ras of etnische afkomst onthullen. Vanwege de verhoogde risico's die gepaard gaan met dit soort gegevens, is vaak een GEB vereist.  
      • Grootschalige verwerking uitvoert: Wanneer je persoonsgegevens op grote schaal verwerkt, zoals bij het bijhouden van een uitgebreide klantendatabase of het uitvoeren van een grootschalige marketingcampagne.  
      • Systematische monitoring uitvoert: Als je betrokken bent bij systematische en voortdurende monitoring van individuen, zoals monitoring van werknemers of het volgen van het online gedrag van individuen.  
      • Innovatieve technologie gebruikt: Als je gebruikmaakt van nieuwe of innovatieve technologieën, zoals gezichtsherkenning, "internet-of-things"-apparatuur of big data-analyse, wordt vaak een GEB aanbevolen om de potentiële privacyrisico's en implicaties van deze technologieën te beoordelen. 
      • Potentieel hoog risico voor de rechten van individuen: Beoordeel de potentiële risico's voor de rechten en vrijheden van individuen die voortvloeien uit jouw gegevensverwerking. Houd rekening met factoren zoals de aard van de gegevens, het doel van de verwerking, het mogelijke nadeel dat individuen van de verwerking kunnen ondervinden en de veiligheidsmaatregelen die zijn genomen.  

      Wie moet betrokken zijn bij het GEB-proces? 

      In het GEB-proces worden doorgaans verschillende partijen binnen een organisatie betrokken. Welke specifieke personen of afdelingen er betrokken bij dienen te zijn kan verschillen, afhankelijk van de grootte en structuur van de organisatie. Ook de aard en de mate van verwerking speelt een rol.  

      Enkele partijen die mogelijk betrokken worden bij het GEB-proces:  

      • Functionaris Gegevensbescherming (FG): De FG kan expertise inbrengen op het gebied van regelgeving en het proces makkelijker maken.  
      • IT/security: IT- en securityteams spelen een belangrijke rol in het GEB-proces, omdat zij technische expertise hebben en de beveiligingsrisico's en veiligheidsmaatregelen kunnen. Ook kunnen ze adviseren over eventuele aanvullen de maatregelen. 
      • Project-/proceseigenaren: De personen die verantwoordelijk zijn voor projecten of processen waarvan verwerking van persoonsgegevens een onderdeel is, moeten actief deelnemen aan het GEB-proces.   
      • Juridische en compliance-afdelingenJuridische en compliance-teams moeten betrokken zijn om ervoor te zorgen dat de GEB in overeenstemming is met toepasselijke wet- en regelgeving inzake gegevensbescherming en interne beleidslijnen. Ze kunnen adviseren over wettelijke vereisten, en beoordelen of verwerking gepast is.  
      • Interne of externe auditors: In sommige gevallen kunnen interne of externe auditors betrokken zijn om het GEB-proces te beoordelen en de effectiviteit van de maatregelen te toetsen.  

      Wat zijn de belangrijkste stappen? 

      De belangrijkste stappen in het GEB-proces zijn als volgt: 

      • Ga na of een GEB noodzakelijk is: Zie ook "Moet ik een GEB-opstellen?"
      • Bepaal de reikwijdte van de beoordeling: Definieer duidelijk de reikwijdte van de GEB, inclusief de specifieke gegevensverwerkingsactiviteiten en systemen die beoordeeld moeten worden. 
      • Beoordeel privacyrisico'sIdentificeer en beoordeel potentiële risico's voor de privacyrechten en vrijheden van individuen als gevolg van de gegevensverwerkingsactiviteiten. 
      • Evalueer noodzaak en proportionaliteit: Beoordeel de noodzaak en proportionaliteit van de verwerking, waarbij wordt gekeken of er minder ingrijpende alternatieven zijn of manieren om de verwerking van gegevens te minimaliseren. 
      • Identificeer en implementeer maatregelen: Identificeer en implementeer passende maatregelen om de geïdentificeerde risico's aan te pakken, zoals technische en organisatorische waarborgen. 
      • Raadpleeg relevante belanghebbenden: Raadpleeg relevante belanghebbenden, zoals FGs, juridische adviseurs en personen van wie de gegevens worden verwerkt, en zoek hun input. 
      • Documenteer de GEB: Documenteer het volledige proces, inclusief de verzamelde informatie, geïdentificeerde risico's, geïmplementeerde maatregelen en raadpleging van belanghebbenden. 
      • Integreer bevindingen in besluitvorming: Gebruik de bevindingen uit de GEB om processen te verbeteren, zoals het aanpassen van de verwerkingsactiviteiten of het implementeren van aanvullende waarborgen. 
      • Beoordeling en aanscherping: Beoordeel en actualiseer de GEB periodiek, vooral bij wijzigingen in verwerkingsactiviteiten of wanneer er nieuwe risico's ontstaan. 

      Op hoofdlijnen zijn dit de belangrijkste stappen die genomen moeten worden: 

      • De verwerkingsverantwoordelijke stelt de GEB op. 
      • De verwerkingsverantwoordelijke legt deze ter advies voor aan de functionaris gegevensbescherming (FG). 
      • Het hoger management van de verwerkingsverantwoordelijke keurt de definitieve GEB goed en noteert eventuele afwijkingen van het advies van de FG. 

      Ter illustratie, zie ook het voorbeeld op GDPR.eu: https://gdpr.eu/data-protection-impact-assessment-template/  

        
      Hoe kan Roseman Labs helpen? 

      We zijn betrokken geweest bij meerdere GEB-processen die specifiek gericht waren op het    gebruik van Multi-Party Computation. We kunnen je helpen om een beter begrip te krijgen van de aard van de MPC-verwerkingsactiviteiten en de bijbehorende risico's. 

      Waar kan ik voorbeelden vinden? 

      Hieronder staan enkele templates: 

      We delen graag de templates die we gebruiken om onze klanten te ondersteunen, indien mogelijk/relevant.