Vergroot contrast

Voorafgaande raadpleging

Is uit uw data protection impact assessment (DPIA) naar voren gekomen dat uw beoogde verwerking een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de Autoriteit Persoonsgegevens (AP) overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd.

Bij een voorafgaande raadpleging geeft de AP u advies hoe u de risico's van uw voorgenomen verwerking kunt beperken. Als u deze maatregelen uitvoert, mag u met de verwerking beginnen. Het kan ook dat de AP u adviseert om helemaal van de verwerking af te zien.

Soms is een advies van de AP niet nodig, bijvoorbeeld omdat de risico's toch voldoende blijken te zijn afgedekt. U mag dan gelijk met de verwerking starten.

Procedure voorafgaande raadpleging

Bekijk binnen het onderwerp Voorafgaande raadpleging

Alle antwoorden op mijn vragenVragen over voorafgaande raadpleging

  • Wanneer is een voorafgaande raadpleging nodig?

    Om te bepalen of een voorafgaande raadpleging verplicht is, doorloopt u een aantal stappen:

    • Als u bijvoorbeeld op grote schaal gezondheidsgegevens wilt verwerken, wordt dat gezien als een hoog risico. U moet dan een DPIA uitvoeren.
    • U beoordeelt wat de privacyrisico’s zijn voor de betrokkenen (de mensen van wie u gegevens wilt verwerken).
    • Vervolgens stelt u maatregelen vast waarmee u deze risico’s kunt beperken en waarmee u aantoont aan de Algemene verordening gegevensbescherming (AVG) te voldoen.
    • Lukt het u om deze maatregelen vast te stellen? Dan hoeft u geen voorafgaande raadpleging aan te vragen.
      Bijvoorbeeld: u wilt persoonsgegevens opslaan op laptops. U treft hierbij adequate technische en organisatorische beveiligingsmaatregelen, zoals encryptie (versleuteling) van de gegevens en toegangscontrole. Dit doet u in aanvulling op bestaand privacybeleid als de betrokkenen informeren over het verwerken van hun gegevens, toestemming vragen en inzage geven.
    • Lukt het u niet om deze maatregelen vast te stellen? Dus blijft het risico hoog? Dan moet u een voorafgaande raadpleging aanvragen bij de AP.
      Een voorbeeld van een onacceptabel hoog risico is als de verwerking aanzienlijke, of zelfs onomkeerbare, gevolgen heeft voor de betrokkenen, waartegen zij niets kunnen doen en/of wanneer het overduidelijk is dat het risico zal optreden.
    • Wanneer er in uw organisatie een FG is aangewezen, dan dient hij advies te geven over de uitkomst van de DPIA en de vraag of er voldoende maatregelen zijn genomen om de risico’s te beperken. Ook kan hij adviseren over de vraag of een voorafgaande raadpleging nodig is.

    Zie ook: Hoe beoordeel ik of er een restrisico is?

  • Hoe vraag ik een voorafgaande raadpleging aan?

    U kunt als verwerkingsverantwoordelijke of als functionaris voor de gegevensbescherming (FG) een verzoek indienen bij de Autoriteit Persoonsgegevens (AP) voor een voorafgaande raadpleging. Let op: zolang de AP uw verzoek nog niet heeft beoordeeld, mag u nog niet starten met de gegevensverwerking.

    Aanvraagformulier

    Download het aanvraagformulier voorafgaande raadpleging en geef antwoord op alle vragen die op uw situatie van toepassing zijn.

    DPIA meesturen

    Stuur vervolgens de ingevulde vragenlijst op aan de AP, samen met de DPIA die u heeft uitgevoerd voor de door u voorgenomen verwerking van persoonsgegevens.

    De AP neemt uw verzoek alleen in behandeling als u alle vragen die op uw situatie betrekking hebben heeft beantwoord en u de DPIA meestuurt.

    Privacystatement voorafgaande raadpleging

    Bij het indienen van een verzoek om een voorafgaande raadpleging is het Privacystatement Voorafgaande raadpleging en Vergunningaanvragen de AP van toepassing.

    Adres AP

    U kunt het ingevulde formulier met uw DPIA sturen aan:

    Autoriteit Persoonsgegevens
    Verzoek voorafgaande raadpleging
    Postbus 93374
    2509 AJ DEN HAAG

  • Wanneer kan de AP mijn verzoek om een voorafgaande raadpleging niet in behandeling nemen?

    De Autoriteit Persoonsgegevens (AP) kijkt bij ontvangst van uw aanvraagformulier voor een voorafgaande raadpleging of uw verzoek in behandeling kan worden genomen.

    De AP neemt uw verzoek niet in behandeling als:

    • er geen sprake is van een verwerking van persoonsgegevens;
    • de verwerking waar het om gaat geen hoog risico oplevert;
    • het formulier niet goed is ingevuld, de verstrekte informatie tegenstrijdig is of op een andere manier onduidelijk is;
    • de DPIA ontbreekt, niet aan de eisen voldoet of onaannemelijk is.

    In deze gevallen ontvangt u een brief dat de AP uw verzoek niet in behandeling neemt. En hoe snel u de ontbrekende informatie moet opsturen.

    Stuurt u de gevraagde informatie niet op tijd op? Dan neemt de AP uw verzoek niet verder in behandeling.

  • Hoe beoordeelt de AP mijn verzoek om een voorafgaande raadpleging?

    De Autoriteit Persoonsgegevens (AP) kijkt eerst of de voorgenomen verwerking voldoet aan de eisen van de Algemene verordening gegevensbescherming (AVG), de Wet Politiegegevens (Wpg) of de Wet justitiële en strafvorderlijke gegevens (Wjsg).

    Denk hierbij aan een geldige grondslag en of de verwerking noodzakelijk en rechtmatig is.

    Beoordeling risico’s

    Daarnaast beoordeelt de AP vooral de risicovolle aspecten van de voorgenomen verwerking en de maatregelen die nodig zijn om de risico’s te beperken.

    Grensoverschrijdende verwerking

    De AP beoordeelt bij elk verzoek om voorafgaande raadpleging of er sprake is van een grensoverschrijdende verwerking. En dus of de AP moet samenwerken met andere EU-lidstaten of EU-instanties.

    Is de AP de leidende toezichthoudende autoriteit? Dan geeft de AP een reactie op het verzoek. Is dat niet het geval, dan draagt de AP het verzoek over aan de leidende toezichthouder.

  • Hoe lang duurt de behandeling van mijn verzoek om een voorafgaande raadpleging?

    Wanneer de Autoriteit Persoonsgegevens (AP) uw verzoek om een voorafgaande raadpleging in behandeling neemt, begint de wettelijke behandeltermijn.

    Wettelijke behandeltermijnen

    • Algemene verordening gegevensbescherming (AVG): maximaal 14 weken.
    • Wet Politiegegevens (Wpg) of Wet justitiële en strafvorderlijke gegevens (Wjsg): maximaal 10 weken.

    De AP kan deze termijnen verlengen als uw voorgenomen verwerking erg complex is.

    Meer informatie nodig

    Heeft de AP tijdens de beoordeling meer informatie nodig? Dan vraagt de AP aan u om deze informatie binnen een bepaalde termijn te geven. U kunt hiervoor uitstel aanvragen.

    De behandeltermijn van de voorafgaande raadpleging wordt in deze gevallen onderbroken.

    Let op

    Tijdens deze procedure mag u nog niet beginnen met verwerken van persoonsgegevens.

  • Welke uitkomsten van een voorafgaande raadpleging zijn mogelijk?

    Als er voldoende informatie is voor een beoordeling, stuurt de Autoriteit Persoonsgegevens (AP) u een eindbrief. Er zijn twee opties.

    Geen advies AP

    De voorafgaande raadpleging leidt niet tot een advies:

    • als er toch geen sprake is van een hoog restrisico;
    • en/of u voldoende maatregelen heeft genomen om de risico’s te verminderen;
    • en de voorgenomen verwerking geen inbreuk blijkt te maken op de Algemene verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) of de Wet justitiële en strafvorderlijke gegevens (Wjsg).

    In dat geval mag u beginnen met de voorgelegde verwerking van de persoonsgegevens.

    Wel advies AP

    De voorafgaande raadpleging leidt wel tot een advies als de AP oordeelt dat de voorgenomen verwerking inbreuk maakt op de AVG, Wpg of Wjsg. In het advies geeft de AP aan waarom de voorgenomen verwerking inbreuk maakt op de wet. En welke maatregelen/veranderingen er nodig zijn om ervoor te zorgen dat dit niet gebeurt.

    In dat geval wordt u geacht deze maatregelen door te voeren. Pas daarna mag u starten met de voorgelegde verwerking van de persoonsgegevens.

    Oordeelt de AP dat het niet lukt om inbreuk op de AVG, Wpg of Wjsg te voorkomen? Ook niet met extra waarborgen? Dan adviseert de AP om niet te beginnen met de verwerking.

  • Maakt de AP voorafgaande raadplegingen openbaar?

    Dat is nog niet bekend. In de 'Beleidsregels openbaarmaking' zal de Autoriteit Persoonsgegevens (AP) vastleggen of en zo ja, op welke manier, een advies wordt gepubliceerd. Deze beleidsregels zijn nog niet vastgesteld.

  • Wanneer treedt de AP handhavend op bij voorafgaande raadplegingen?

    De volgende gevallen kunnen aanleiding zijn voor de Autoriteit Persoonsgegevens (AP) om een handhavend onderzoek in te stellen of een boete te geven:

    • wanneer er niet om een voorafgaande raadpleging gevraagd wordt, terwijl dat wel verplicht is;
    • wanneer de verwerkingsverantwoordelijke al met verwerken is begonnen voor of tijdens de voorafgaande raadpleging;
    • als na afloop van de voorafgaande raadpleging blijkt dat een verwerkingsverantwoordelijke is begonnen met de verwerking in strijd met het gegeven advies.
Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden