Vergroot contrast

Voorafgaande raadpleging

Is uit uw data protection impact assessment (DPIA) naar voren gekomen dat uw beoogde verwerking een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de Autoriteit Persoonsgegevens (AP) overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd.

Advies van de AP

Bij een voorafgaande raadpleging geeft de AP u advies hoe u de risico's van uw voorgenomen verwerking kunt beperken. Als u deze maatregelen uitvoert, mag u met de verwerking beginnen.

Het kan ook dat de AP u adviseert om helemaal van de verwerking af te zien.

Geen advies nodig

Soms is een advies van de AP niet nodig. Bijvoorbeeld omdat de risico's toch voldoende blijken te zijn afgedekt. U mag dan gelijk met de verwerking starten.

Procedure voorafgaande raadpleging

Bekijk binnen het onderwerp Voorafgaande raadpleging

Alle antwoorden op mijn vragenVragen over aanvraag voorafgaande raadpleging

  • Wanneer is een voorafgaande raadpleging nodig?

    Als organisatie bepaalt u zelf of een voorafgaande raadpleging (VR) in uw geval verplicht is. Dit doet u door de volgende stappen te doorlopen.

    DPIA uitvoeren

    Wilt u een gegevensverwerking starten die waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie u gegevens wilt verwerken)? Dan moet u een data protection impact assessment (DPIA) uitvoeren. Bijvoorbeeld als u op grote schaal gezondheidsgegevens wilt verwerken.

    Privacyrisico’s beoordelen

    U beoordeelt wat de privacyrisico’s zijn voor de betrokkenen. In voorkomende gevallen vraagt u de betrokkenen of hun vertegenwoordigers vooraf naar hun mening over de voorgenomen verwerking.

    Maatregelen vaststellen

    Vervolgens stelt u maatregelen vast waarmee u deze risico’s kunt beperken. En waarmee u aantoont te voldoen aan de Algemene verordening gegevensbescherming (AVG), Wet Politiegegevens (Wpg) of Wet justitiële en strafvorderlijke gegevens (Wjsg).

    Maatregelen mogelijk: geen VR nodig

    Lukt het u om deze maatregelen vast te stellen? Dan hoeft u geen VR aan te vragen.

    Bijvoorbeeld: u wilt persoonsgegevens opslaan op laptops. U treft hierbij adequate technische en organisatorische beveiligingsmaatregelen. Zoals encryptie (versleuteling) van de gegevens en toegangscontrole.

    Dit doet u in aanvulling op bestaand privacybeleid zoals de betrokkenen informeren over het verwerken van hun gegevens, toestemming vragen en inzage geven.

    Hoog restrisico: VR aanvragen

    Lukt het u niet om deze maatregelen vast te stellen? Dus blijft het risico hoog? Dan moet u een VR aanvragen bij de Autoriteit Persoonsgegevens (AP).

    Een voorbeeld van een onacceptabel hoog risico is als de verwerking aanzienlijke – of zelfs onomkeerbare – gevolgen heeft voor de betrokkenen, waartegen zij niets kunnen doen, en/of wanneer het overduidelijk is dat het risico zal optreden.

    Zie ook: Hoe beoordeel ik of er een restrisico is?

    Rol van de FG

    Heeft uw organisatie een functionaris gegevensbescherming (FG)? Dan moet de FG advies geven over de uitkomst van de DPIA. En over de vraag of er voldoende maatregelen zijn genomen om de risico’s te beperken. Ook kan de FG adviseren over de vraag of een VR nodig is.

    Vragen?

    Heeft u vragen over de VR-procedure? Of twijfelt u bijvoorbeeld of u een VR moet aanvragen? Dan kunt u dat eenmalig informeel met de AP bespreken.

    Grondslag is uw eigen verantwoordelijkheid

    Let op: de VR-procedure is bedoeld om hoge restrisico’s van een verwerking aan de AP voor te leggen. En niet om advies te vragen over de (toereikendheid van de) grondslag van een voorgenomen verwerking.

    Een ontbrekende of ontoereikende grondslag is namelijk geen hoog restrisico, maar gaat over de basis van de verwerking.

    Het is uw eigen verantwoordelijkheid om de grondslag voor uw verwerking te bepalen. De AP kan daarover vooraf alleen in algemene zin voorlichting geven. Of achteraf (na onderzoek) beoordelen of de grondslag toereikend is voor een bepaalde verwerking.

    Zie verder

  • Moet u als ministerie bij nieuwe wetgeving de AP voorafgaand raadplegen?

    Nee, meestal hoeft dat niet. Voor wetgeving over verwerking van persoonsgegevens geldt sowieso de verplichting om de Autoriteit Persoonsgegevens (AP) om advies te vragen, of er nou sprake is van hoog risico of niet (artikel 36, vierde lid, AVG).

    In dit wetgevingsadvies kijkt de AP al naar de privacyaspecten van de voorgenomen verwerking. Een aparte voorafgaande raadpleging (VR) zou in de systematiek van de AVG dubbelop zijn.

    VR bij pilot

    Maar gaat u al persoonsgegevens verwerken bij voorbereidende handelingen om tot nieuwe wetgeving te komen? Bijvoorbeeld bij een pilot? Dan kunt u wél verplicht zijn een VR aan te vragen.

    VR bij vragen in uitvoering

    Let op: een wetgevingsadvies van de AP gaat vooral over de wettekst zelf. Zijn er aspecten van de verwerking(en) die niet logischerwijs al aan de orde zijn in de wettekst of de toelichting? Dan maken die geen deel uit van het advies. 

    In de uitvoering of de uitvoeringssystemen kunnen zich vraagstukken van feitelijke aard voordoen waar de (nationale) wetgeving niet over gaat.

    Bijvoorbeeld omdat de regelgeving er niet voor nodig is of een ander abstractieniveau kent. Of omdat het onderwerp in beginsel al volledig door de AVG wordt geregeld (zoals beveiliging van de verwerking in art. 32 AVG). 

    Leveren dergelijke onderwerpen een hoog risico op? Dan kunt u daarover wél een VR aanvragen bij de AP. 

    Heeft u een dergelijke VR aangevraagd? Vermeld dit dan bij uw verzoek om een wetgevingsadvies.

  • Moet u voor een pilot of test een voorafgaande raadpleging aanvragen?

    Ja, als het om een risicovolle verwerking gaat, kunt u dit verplicht zijn. Er bestaat geen uitzondering voor verwerkingen van persoonsgegevens tijdens een pilot of test.

    Verwerkt u bij de pilot of test ‘echte’ persoonsgegevens? Dan moet u daarbij dus voldoen aan de regels uit de Algemene verordening gegevensbescherming (AVG), Wet Politiegegevens (Wpg) of Wet justitiële en strafvorderlijke gegevens (Wjsg). 

    Dat betekent dat u een data protection impact assessment (DPIA) moet uitvoeren als de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie u gegevens verwerkt.

    En u mogelijk ook een voorafgaande raadpleging moet aanvragen als uit de DPIA een hoog restrisico blijkt.

  • Hoe vraagt u een voorafgaande raadpleging aan?

    U kunt als verwerkingsverantwoordelijke of als functionaris gegevensbescherming (FG) een voorafgaande raadpleging (VR) aanvragen bij de Autoriteit Persoonsgegevens (AP). 

    Let op: zolang de AP uw aanvraag nog niet heeft beoordeeld, mag u nog niet starten met de gegevensverwerking. 

    Aanvraagformulier voorafgaande raadpleging

    Download het aanvraagformulier voorafgaande raadpleging. Geef antwoord op alle vragen die op uw situatie van toepassing zijn.

    DPIA en advies FG meesturen

    Stuur vervolgens de ingevulde vragenlijst op aan de AP. Stuur de data protection impact assessment (DPIA) mee die u heeft uitgevoerd voor de door u voorgenomen verwerking van persoonsgegevens. En ook, als u dit heeft, het advies van uw FG.

    Let op: de AP neemt uw aanvraag alleen in behandeling als u alle vragen heeft beantwoord die over uw situatie gaan, u de DPIA meestuurt en u het eventuele advies van de FG meestuurt.

    Adres AP

    U stuurt het ingevulde formulier, de DPIA en het eventuele advies van uw FG aan:

    Autoriteit Persoonsgegevens
    Aanvraag voorafgaande raadpleging
    Postbus 93374
    2509 AJ DEN HAAG.

    Privacyverklaring voorafgaande raadpleging

    Als u een VR aanvraagt, verwerkt de AP uw persoonsgegevens. Wilt u hierover meer weten, lees dan de Privacyverklaring van de AP.

    Zie verder

  • Wanneer kan de AP uw verzoek om een voorafgaande raadpleging niet in behandeling nemen?

    De Autoriteit Persoonsgegevens (AP) kijkt bij ontvangst van uw aanvraagformulier voor een voorafgaande raadpleging (VR) eerst of de AP uw aanvraag in behandeling neemt.

    De AP neemt uw aanvraag niet in behandeling als:

    • er geen sprake is van een verwerking van persoonsgegevens;
    • de verwerking waar het om gaat geen hoog risico oplevert volgens de AP en/of u als aanvrager; 
    • de VR-aanvraag alleen gaat over een mogelijk ontbrekende of onvolledige grondslag;
    • het formulier niet goed is ingevuld en de verstrekte informatie daardoor onvolledig, tegenstrijdig of op een andere manier onduidelijk is;
    • de data protection impact assessment (DPIA) ontbreekt, niet aan de eisen voldoet of onaannemelijk is.

    Geen hoog restrisico (meer)

    Heeft u de DPIA uitgevoerd en concludeert u dat er geen sprake (meer) is van een hoog restrisico, mede als gevolg van de door u genomen maatregelen? Dan neemt de AP uw VR-aanvraag in beginsel niet in behandeling.

    De AP gaat dan uit van uw beoordeling, omdat u er zelf verantwoordelijk voor bent dat u de Algemene verordening gegevensbescherming (AVG), Wet Politiegegevens (Wpg) of Wet justitiële en strafvorderlijke gegevens (Wjsg) naleeft. De AP doet dan dus geen eigen inhoudelijke beoordeling.

    Krijgt de AP signalen of klachten dat uw verwerking toch in strijd is met de privacyregels? Dan kan de AP uiteraard op elk moment andere toezichtinstrumenten inzetten. Zoals een onderzoek starten naar uw verwerking en bijvoorbeeld een boete opleggen op basis van dit onderzoek.

    Brief van de AP

    Neemt de AP uw aanvraag niet in behandeling, dan ontvangt u daar een brief over.

    Ontbrekende informatie

    Kan de AP uw aanvraag niet in behandeling nemen omdat er informatie ontbreekt? Dan staat in de brief ook om welke informatie het gaat. En hoe snel u deze ontbrekende informatie moet opsturen.

    Stuurt u de gevraagde informatie niet op tijd op? Dan neemt de AP uw aanvraag definitief niet verder in behandeling.

    Zie verder

Alle antwoorden op mijn vragenVragen over de behandeling van de aanvraag voorafgaande raadpleging

  • Hoe beoordeelt de AP uw aanvraag voor een voorafgaande raadpleging?

    Neemt de Autoriteit Persoonsgegevens (AP) uw aanvraag voor een voorafgaande raadpleging (VR) in behandeling? Dan kijkt de AP eerst of uw voorgenomen verwerking voldoet aan de eisen uit de Algemene verordening gegevensbescherming (AVG), Wet Politiegegevens (Wpg) of Wet justitiële en strafvorderlijke gegevens (Wjsg). 

    Denk hierbij aan een geldige grondslag. En de vraag of de verwerking noodzakelijk en rechtmatig is.

    De VR-procedure is niet bedoeld voor advies over een ontbrekende of onvolledige grondslag. En de AP neemt een VR-aanvraag die alleen daarover gaat niet in behandeling. Maar de AP moet de grondslag van een voorgelegde verwerking uiteraard wel beoordelen.

    Want ontbreekt de grondslag voor een verwerking of is de grondslag ontoereikend? Dan is de verwerking op grond daarvan al onrechtmatig. En zijn er geen maatregelen mogelijk om de privacyrisico’s te beperken.

    Beoordeling risico’s

    Daarnaast beoordeelt de AP vooral de risicovolle aspecten van de voorgenomen verwerking en de maatregelen die nodig zijn om de risico’s te beperken.

    Grensoverschrijdende verwerking

    De AP beoordeelt bij elke VR-aanvraag of er sprake is van een grensoverschrijdende verwerking. En dus of de AP moet samenwerken met andere EU-lidstaten of EU-instanties.

    Is de AP de leidende toezichthouder? Dan geeft de AP een reactie op uw aanvraag. Is dat niet het geval, dan draagt de AP de aanvraag over aan de leidende toezichthouder.

    Zie verder

  • Hoe lang duurt de behandeling van uw aanvraag voor een voorafgaande raadpleging?

    Wanneer de Autoriteit Persoonsgegevens (AP) uw aanvraag voor een voorafgaande raadpleging (VR) in behandeling neemt, begint de wettelijke behandeltermijn.

    Wettelijke behandeltermijn

    De behandeltermijnen staan in de wet:

    • Algemene verordening gegevensbescherming (AVG): in beginsel 8 weken met een mogelijke verlenging van 6 weken, dus maximaal 14 weken.
    • Wet Politiegegevens (Wpg) of Wet justitiële en strafvorderlijke gegevens (Wjsg): in beginsel 6 weken met een mogelijke verlenging van 4 weken, dus maximaal 10 weken.​

    De AP kan de termijnen verlengen als uw voorgenomen verwerking erg complex is.

    Meer informatie nodig

    Heeft de AP tijdens de beoordeling meer informatie nodig? Dan vraagt de AP u om deze informatie binnen een bepaalde termijn te geven. U kunt hiervoor uitstel aanvragen. 

    • Gaat het om een AVG-verwerking? Dan wordt de behandeltermijn van de VR onderbroken als de AP om nadere informatie vraagt. 
    • Gaat het om een Wpg-verwerking of een Wjsg-verwerking? Dan blijft de behandeltermijn doorlopen als de AP om nadere informatie vraagt. De Wpg en Wjsg kennen de mogelijkheid van onderbreking van de behandeltermijn namelijk niet.

    Nog niet starten

    Let op: tijdens deze VR-procedure mag u nog niet beginnen met de verwerking van persoonsgegevens.

  • Welke uitkomsten van een voorafgaande raadpleging zijn mogelijk?

    Als er voldoende informatie is voor een beoordeling, stuurt de Autoriteit Persoonsgegevens (AP) u een brief. Er zijn twee opties: u krijgt geen advies (omdat dat niet nodig is) of u krijgt wel een advies.

    Geen advies AP

    De voorafgaande raadpleging leidt niet tot een advies, maar tot een eindbrief:

    • als er toch geen sprake is van een hoog restrisico;
    • en/of u voldoende maatregelen heeft genomen om de risico’s te verminderen;
    • en de voorgenomen verwerking geen inbreuk blijkt te maken op de Algemene verordening gegevensbescherming (AVG), Wet politiegegevens (Wpg) of Wet justitiële en strafvorderlijke gegevens (Wjsg).

    In dat geval mag u beginnen met de voorgelegde verwerking van persoonsgegevens.

    Wel advies AP

    De voorafgaande raadpleging leidt wel tot een advies als de AP oordeelt dat uw voorgenomen verwerking inbreuk maakt op de AVG, Wpg of Wjsg.

    In het advies geeft de AP aan waarom de voorgenomen verwerking inbreuk maakt op de wet. En welke maatregelen of veranderingen er nodig zijn om ervoor te zorgen dat dit niet gebeurt.

    In dat geval moet u deze maatregelen doorvoeren. Pas daarna mag u starten met de voorgelegde verwerking van persoonsgegevens.

    Oordeelt de AP dat het niet lukt om inbreuk op de AVG, Wpg of Wjsg te voorkomen? Ook niet met extra waarborgen of maatregelen? Dan adviseert de AP u om niet te beginnen met de verwerking.

  • Maakt de AP de voorafgaande raadpleging openbaar?

    Nee, in beginsel niet. Maar in bepaalde, incidentele gevallen kan de Autoriteit Persoonsgegevens (AP) toch besluiten het advies openbaar te maken.

    Bijvoorbeeld als de AP meent dat de inhoud van dat advies van grote waarde kan zijn voor andere verwerkingsverantwoordelijken. En het advies dus een bijdrage kan leveren aan de voorlichting over de privacywetgeving. 

    Is de AP van plan het advies over uw verwerking openbaar te maken? Dan laat de AP dat vooraf aan u weten. 

    In de 'Beleidsregels openbaarmaking' zal de AP vastleggen of een advies wordt gepubliceerd en zo ja, op welke manier. Deze beleidsregels zijn nog niet vastgesteld.

  • Wanneer treedt de AP handhavend op bij voorafgaande raadplegingen?

    De volgende gevallen kunnen aanleiding zijn voor de Autoriteit Persoonsgegevens (AP) om een handhavend onderzoek in te stellen of een boete te geven:

    • wanneer een verwerkingsverantwoordelijke niet om een voorafgaande raadpleging vraagt terwijl dat wel verplicht is;
    • wanneer een verwerkingsverantwoordelijke al met verwerken is begonnen voor of tijdens de voorafgaande raadpleging;
    • als na afloop van de voorafgaande raadpleging blijkt dat een verwerkingsverantwoordelijke is begonnen met de verwerking in strijd met het gegeven advies.