Voorafgaande raadpleging

Als organisatie bepaalt u zelf of een voorafgaande raadpleging (VR) in uw geval verplicht is. Dit doet u door de volgende stappen te doorlopen.

DPIA uitvoeren

Wilt u een gegevensverwerking starten die waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie u gegevens wilt verwerken)? Dan moet u een data protection impact assessment (DPIA) uitvoeren. Bijvoorbeeld als u op grote schaal gezondheidsgegevens wilt verwerken.

Privacyrisico’s beoordelen

U beoordeelt wat de privacyrisico’s zijn voor de betrokkenen. In voorkomende gevallen vraagt u de betrokkenen of hun vertegenwoordigers vooraf naar hun mening over de voorgenomen verwerking.

Maatregelen vaststellen

Vervolgens stelt u maatregelen vast waarmee u deze risico’s kunt beperken. En waarmee u aantoont te voldoen aan de Algemene verordening gegevensbescherming (AVG), Wet Politiegegevens (Wpg) of Wet justitiële en strafvorderlijke gegevens (Wjsg).

Maatregelen mogelijk: geen VR nodig

Lukt het u om deze maatregelen vast te stellen? Dan hoeft u geen VR aan te vragen.

Bijvoorbeeld: u wilt persoonsgegevens opslaan op laptops. U treft hierbij adequate technische en organisatorische beveiligingsmaatregelen. Zoals encryptie (versleuteling) van de gegevens en toegangscontrole.

Dit doet u in aanvulling op bestaand privacybeleid zoals de betrokkenen informeren over het verwerken van hun gegevens, toestemming vragen en inzage geven.

Hoog restrisico: VR aanvragen

Lukt het u niet om deze maatregelen vast te stellen? Dus blijft het risico hoog? Dan moet u een VR aanvragen bij de Autoriteit Persoonsgegevens (AP).

Een voorbeeld van een onacceptabel hoog risico is als de verwerking aanzienlijke – of zelfs onomkeerbare – gevolgen heeft voor de betrokkenen, waartegen zij niets kunnen doen, en/of wanneer het overduidelijk is dat het risico zal optreden.

Zie ook: Hoe beoordeel ik of er een restrisico is?

Rol van de FG

Heeft uw organisatie een functionaris gegevensbescherming (FG)? Dan moet de FG advies geven over de uitkomst van de DPIA. En over de vraag of er voldoende maatregelen zijn genomen om de risico’s te beperken. Ook kan de FG adviseren over de vraag of een VR nodig is.

Let op: De FG mag de voorafgaande raadpleging niet aanvragen. Dat moet u als verwerkingsverantwoordelijke zelf doen.

Vragen?

Heeft u vragen over de VR-procedure? Of twijfelt u bijvoorbeeld of u een VR moet aanvragen? Dan kunt u dat eenmalig informeel met de AP bespreken.

Grondslag is uw eigen verantwoordelijkheid

Let op: de VR-procedure is bedoeld om hoge restrisico’s van een verwerking aan de AP voor te leggen. En niet om advies te vragen over de (toereikendheid van de) grondslag van een voorgenomen verwerking.

Een ontbrekende of ontoereikende grondslag is namelijk geen hoog restrisico, maar gaat over de basis van de verwerking.

Het is uw eigen verantwoordelijkheid om de grondslag voor uw verwerking te bepalen. De AP kan daarover vooraf alleen in algemene zin voorlichting geven. Of achteraf (na onderzoek) beoordelen of de grondslag toereikend is voor een bepaalde verwerking.

Zie verder

• Hoe vraagt u een voorafgaande raadpleging aan?

Nee, meestal hoeft dat niet. Voor wetgeving over verwerking van persoonsgegevens geldt sowieso de verplichting om de Autoriteit Persoonsgegevens (AP) om advies te vragen, of er nou sprake is van hoog risico of niet (artikel 36, vierde lid, AVG).

In dit wetgevingsadvies kijkt de AP al naar de privacyaspecten van de voorgenomen verwerking. Een aparte voorafgaande raadpleging (VR) zou in de systematiek van de AVG dubbelop zijn.

VR bij pilot

Maar gaat u al persoonsgegevens verwerken bij voorbereidende handelingen om tot nieuwe wetgeving te komen? Bijvoorbeeld bij een pilot? Dan kunt u wél verplicht zijn een VR aan te vragen.

VR bij vragen in uitvoering

Let op: een wetgevingsadvies van de AP gaat vooral over de wettekst zelf. Zijn er aspecten van de verwerking(en) die niet logischerwijs al aan de orde zijn in de wettekst of de toelichting? Dan maken die geen deel uit van het advies. 

In de uitvoering of de uitvoeringssystemen kunnen zich vraagstukken van feitelijke aard voordoen waar de (nationale) wetgeving niet over gaat.

Bijvoorbeeld omdat de regelgeving er niet voor nodig is of een ander abstractieniveau kent. Of omdat het onderwerp in beginsel al volledig door de AVG wordt geregeld (zoals beveiliging van de verwerking in art. 32 AVG). 

Leveren dergelijke onderwerpen een hoog risico op? Dan kunt u daarover wél een VR aanvragen bij de AP. 

Heeft u een dergelijke VR aangevraagd? Vermeld dit dan bij uw verzoek om een wetgevingsadvies.

Ja, als het om een risicovolle verwerking gaat, kunt u dit verplicht zijn. Er bestaat geen uitzondering voor verwerkingen van persoonsgegevens tijdens een pilot of test.

Verwerkt u bij de pilot of test ‘echte’ persoonsgegevens? Dan moet u daarbij dus voldoen aan de regels uit de Algemene verordening gegevensbescherming (AVG), Wet Politiegegevens (Wpg) of Wet justitiële en strafvorderlijke gegevens (Wjsg). 

Dat betekent dat u een data protection impact assessment (DPIA) moet uitvoeren als de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie u gegevens verwerkt.

En u mogelijk ook een voorafgaande raadpleging moet aanvragen als uit de DPIA een hoog restrisico blijkt.

U kunt als verwerkingsverantwoordelijke een voorafgaande raadpleging (VR) aanvragen bij de Autoriteit Persoonsgegevens (AP).

Let op: zolang de AP uw aanvraag nog niet heeft beoordeeld, mag u nog niet starten met de gegevensverwerking. 

Aanvraagformulier voorafgaande raadpleging

Download het aanvraagformulier voorafgaande raadpleging. Geef antwoord op alle vragen die op uw situatie van toepassing zijn.

DPIA en advies FG meesturen

Stuur vervolgens de ingevulde vragenlijst op aan de AP. Stuur de data protection impact assessment (DPIA) mee die u heeft uitgevoerd voor de door u voorgenomen verwerking van persoonsgegevens. En ook, als u dit heeft, het advies van uw FG.

Let op: de AP neemt uw aanvraag alleen in behandeling als u alle vragen heeft beantwoord die over uw situatie gaan, u de DPIA meestuurt en u het eventuele advies van de FG meestuurt.

Adres AP

U stuurt het ingevulde formulier, de DPIA en het eventuele advies van uw FG aan:

Autoriteit Persoonsgegevens
Aanvraag voorafgaande raadpleging
Postbus 93374
2509 AJ DEN HAAG.

Privacyverklaring voorafgaande raadpleging

Als u een VR aanvraagt, verwerkt de AP uw persoonsgegevens. Wilt u hierover meer weten, lees dan de Privacyverklaring van de AP.

Zie verder

• Wanneer kan de AP uw verzoek om een voorafgaande raadpleging niet in behandeling nemen?
• Hoe beoordeelt de AP uw aanvraag voor een voorafgaande raadpleging?

De Autoriteit Persoonsgegevens (AP) kijkt bij ontvangst van uw aanvraagformulier voor een voorafgaande raadpleging (VR) eerst of de AP uw aanvraag in behandeling neemt.

De AP neemt uw aanvraag niet in behandeling als:

• er geen sprake is van een verwerking van persoonsgegevens;
• de verwerking waar het om gaat geen hoog risico oplevert volgens de AP en/of u als aanvrager; 
• de VR-aanvraag alleen gaat over een mogelijk ontbrekende of onvolledige grondslag;
• het formulier niet goed is ingevuld en de verstrekte informatie daardoor onvolledig, tegenstrijdig of op een andere manier onduidelijk is;
• de data protection impact assessment (DPIA) ontbreekt, niet aan de eisen voldoet of onaannemelijk is.

Geen hoog restrisico (meer)

Heeft u de DPIA uitgevoerd en concludeert u dat er geen sprake (meer) is van een hoog restrisico, mede als gevolg van de door u genomen maatregelen? Dan neemt de AP uw VR-aanvraag in beginsel niet in behandeling.

De AP gaat dan uit van uw beoordeling, omdat u er zelf verantwoordelijk voor bent dat u de Algemene verordening gegevensbescherming (AVG), Wet Politiegegevens (Wpg) of Wet justitiële en strafvorderlijke gegevens (Wjsg) naleeft. De AP doet dan dus geen eigen inhoudelijke beoordeling.

Krijgt de AP signalen of klachten dat uw verwerking toch in strijd is met de privacyregels? Dan kan de AP uiteraard op elk moment andere toezichtinstrumenten inzetten. Zoals een onderzoek starten naar uw verwerking en bijvoorbeeld een boete opleggen op basis van dit onderzoek.

Brief van de AP

Neemt de AP uw aanvraag niet in behandeling, dan ontvangt u daar een brief over.

Ontbrekende informatie

Kan de AP uw aanvraag niet in behandeling nemen omdat er informatie ontbreekt? Dan staat in de brief ook om welke informatie het gaat. En hoe snel u deze ontbrekende informatie moet opsturen.

Stuurt u de gevraagde informatie niet op tijd op? Dan neemt de AP uw aanvraag definitief niet verder in behandeling.

Zie verder

• Hoe beoordeelt de AP uw aanvraag voor een voorafgaande raadpleging?

Neemt de Autoriteit Persoonsgegevens (AP) uw aanvraag voor een voorafgaande raadpleging (VR) in behandeling? Dan kijkt de AP eerst of uw voorgenomen verwerking voldoet aan de eisen uit de Algemene verordening gegevensbescherming (AVG), Wet Politiegegevens (Wpg) of Wet justitiële en strafvorderlijke gegevens (Wjsg). 

Denk hierbij aan een geldige grondslag. En de vraag of de verwerking noodzakelijk en rechtmatig is.

De VR-procedure is niet bedoeld voor advies over een ontbrekende of onvolledige grondslag. En de AP neemt een VR-aanvraag die alleen daarover gaat niet in behandeling. Maar de AP moet de grondslag van een voorgelegde verwerking uiteraard wel beoordelen.

Want ontbreekt de grondslag voor een verwerking of is de grondslag ontoereikend? Dan is de verwerking op grond daarvan al onrechtmatig. En zijn er geen maatregelen mogelijk om de privacyrisico’s te beperken.

Beoordeling risico’s

Daarnaast beoordeelt de AP vooral de risicovolle aspecten van de voorgenomen verwerking en de maatregelen die nodig zijn om de risico’s te beperken.

Grensoverschrijdende verwerking

De AP beoordeelt bij elke VR-aanvraag of er sprake is van een grensoverschrijdende verwerking. En dus of de AP moet samenwerken met andere EU-lidstaten of EU-instanties.

Is de AP de leidende toezichthouder? Dan geeft de AP een reactie op uw aanvraag. Is dat niet het geval, dan draagt de AP de aanvraag over aan de leidende toezichthouder.

Zie verder

• Welke uitkomsten van een voorafgaande raadpleging zijn mogelijk?

Wanneer de Autoriteit Persoonsgegevens (AP) uw aanvraag voor een voorafgaande raadpleging (VR) in behandeling neemt, begint de wettelijke behandeltermijn.

Wettelijke behandeltermijn

De behandeltermijnen staan in de wet:

• Algemene verordening gegevensbescherming (AVG): in beginsel 8 weken met een mogelijke verlenging van 6 weken, dus maximaal 14 weken.
• Wet Politiegegevens (Wpg) of Wet justitiële en strafvorderlijke gegevens (Wjsg): in beginsel 6 weken met een mogelijke verlenging van 4 weken, dus maximaal 10 weken.​

De AP kan de termijnen verlengen als uw voorgenomen verwerking erg complex is.

Meer informatie nodig

Heeft de AP tijdens de beoordeling meer informatie nodig? Dan vraagt de AP u om deze informatie binnen een bepaalde termijn te geven. U kunt hiervoor uitstel aanvragen. 

• Gaat het om een AVG-verwerking? Dan wordt de behandeltermijn van de VR onderbroken als de AP om nadere informatie vraagt. 
• Gaat het om een Wpg-verwerking of een Wjsg-verwerking? Dan blijft de behandeltermijn doorlopen als de AP om nadere informatie vraagt. De Wpg en Wjsg kennen de mogelijkheid van onderbreking van de behandeltermijn namelijk niet.

Nog niet starten

Let op: tijdens deze VR-procedure mag u nog niet beginnen met de verwerking van persoonsgegevens.

Als er voldoende informatie is voor een beoordeling, stuurt de Autoriteit Persoonsgegevens (AP) u een brief. Er zijn twee opties: u krijgt geen advies (omdat dat niet nodig is) of u krijgt wel een advies.

Geen advies AP

De voorafgaande raadpleging leidt niet tot een advies, maar tot een eindbrief:

• als er toch geen sprake is van een hoog restrisico;
• en/of u voldoende maatregelen heeft genomen om de risico’s te verminderen;
• en de voorgenomen verwerking geen inbreuk blijkt te maken op de Algemene verordening gegevensbescherming (AVG), Wet politiegegevens (Wpg) of Wet justitiële en strafvorderlijke gegevens (Wjsg).

In dat geval mag u beginnen met de voorgelegde verwerking van persoonsgegevens.

Wel advies AP

De voorafgaande raadpleging leidt wel tot een advies als de AP oordeelt dat uw voorgenomen verwerking inbreuk maakt op de AVG, Wpg of Wjsg.

In het advies geeft de AP aan waarom de voorgenomen verwerking inbreuk maakt op de wet. En welke maatregelen of veranderingen er nodig zijn om ervoor te zorgen dat dit niet gebeurt.

In dat geval moet u deze maatregelen doorvoeren. Pas daarna mag u starten met de voorgelegde verwerking van persoonsgegevens.

Oordeelt de AP dat het niet lukt om inbreuk op de AVG, Wpg of Wjsg te voorkomen? Ook niet met extra waarborgen of maatregelen? Dan adviseert de AP u om niet te beginnen met de verwerking.

Nee, in beginsel niet. Maar in bepaalde, incidentele gevallen kan de Autoriteit Persoonsgegevens (AP) toch besluiten het advies openbaar te maken.

Bijvoorbeeld als de AP meent dat de inhoud van dat advies van grote waarde kan zijn voor andere verwerkingsverantwoordelijken. En het advies dus een bijdrage kan leveren aan de voorlichting over de privacywetgeving. 

Is de AP van plan het advies over uw verwerking openbaar te maken? Dan laat de AP dat vooraf aan u weten. 

In de 'Beleidsregels openbaarmaking' zal de AP vastleggen of een advies wordt gepubliceerd en zo ja, op welke manier. Deze beleidsregels zijn nog niet vastgesteld.

De volgende gevallen kunnen aanleiding zijn voor de Autoriteit Persoonsgegevens (AP) om een handhavend onderzoek in te stellen of een boete te geven:

• wanneer een verwerkingsverantwoordelijke niet om een voorafgaande raadpleging vraagt terwijl dat wel verplicht is;
• wanneer een verwerkingsverantwoordelijke al met verwerken is begonnen voor of tijdens de voorafgaande raadpleging;
• als na afloop van de voorafgaande raadpleging blijkt dat een verwerkingsverantwoordelijke is begonnen met de verwerking in strijd met het gegeven advies.