Jaarverslag AP: te weinig voorafgaande raadplegingen gelet op aantal meldingen van risicovolle gegevensverwerkingen
Organisaties zijn verplicht om een data protection impact assessment (DPIA) uit te voeren als zij van plan zijn een risicovolle gegevensverwerking te starten (artikel 35 AVG). Volgt uit de DPIA dat inderdaad sprake is van een hoog privacyrisico? En kan de organisatie geen afdoende maatregelen nemen om dit risico te beperken? Dan moet de organisatie de AP om een voorafgaande raadpleging vragen.
De AP beoordeelt dan of de voorgenomen verwerking in overeenstemming is met de AVG en geeft advies over hoe het gesignaleerde hoge privacyrisico kan worden beperkt of weggenomen.
In 2020 heeft de AP in totaal 8 voorafgaande raadplegingen afgehandeld. In 2 gevallen heeft de AP een verzoek na een inhoudelijke analyse niet in behandeling genomen. In 3 gevallen is het verzoek na inhoudelijke behandeling ingetrokken door de verzoeker. In 3 gevallen heeft de AP advies uitgebracht. Eind 2020 waren nog 2 verzoeken om een voorafgaande raadpleging in behandeling bij de AP.
Regelmatig ontvangt de AP signalen over risicovolle gegevensverwerkingen. Het aantal verzoeken om een voorafgaande raadpleging blijft daarop achter en is laag. De AP heeft de indruk dat organisaties terughoudend zijn om een verzoek om een voorafgaande raadpleging in te dienen, omdat ze het risico zeer laag inschatten dat de AP handhavend optreedt als zij verwerkingen starten met een hoog privacyrisico en daarmee mogelijk de AVG overtreden.
Bron: Jaarverslag 2020 Autoriteit Persoonsgegevens (download hier)