Wat is een GEB?

Voordat je persoonsgegevens verwerkt, moet je, als onderzoeker namens de verwerkingsverantwoordelijke UGent, nagaan of de verwerking al dan niet een waarschijnlijk hoog risico inhoudt voor de vrijheden en rechten van de betrokkenen. Zo ja, dan ben je verplicht om vóór aanvang van uw verwerking een risicoanalyse uit te voeren, een zogenaamde gegevensbeschermingseffectbeoordeling (afgekort ‘GEB’).

Een GEB is een instrument om voor de start van je onderzoek de privacyrisico's te identificeren.

Een GEB onderwerpt jouw voorgenomen onderzoek aan een beoordeling van de mogelijke hoge risico’s die deze voor de betrokkenen kan inhouden, in het licht van alle rechten en vrijheden die zij genieten. Eén GEB kan betrekking hebben op één bepaald onderzoek, maar ook op een reeks vergelijkbare verwerkingsactiviteiten (of onderzoeksprojecten) die vergelijkbare hoge risico's met zich meebrengen.

Wanneer moet ik een GEB uitvoeren?

De volgende criteria of mogelijke risico's helpen je om te bepalen of de verwerking van persoonsgegevens binnen jouw onderzoek al dan niet een waarschijnlijke hoog risico vormt:

• Er worden bijzondere categorieën van persoonsgegevens of persoonsgegevens van gevoelige aard verwerkt. Dit omvat bijzondere categorieën persoonsgegevens (bijvoorbeeld informatie over de politieke opvattingen van personen), evenals persoonsgegevens met betrekking tot strafrechtelijke veroordelingen ofstrafbare feiten.
• Er worden persoonsgegevens van kinderen of andere kwetsbare personen (bijvoorbeeld werknemers, geesteszieken, asielzoekers, bejaarden, patiënten…) verwerkt.
• Er worden persoonsgegevens op grote schaal verwerkt. Bij deze afweging dient u steeds rekening te houden met uw specifieke onderzoekscontext. Zoals:
  • het aantal betrokkenen, hetzij als een specifiek aantal hetzij als een deel van de relevante populatie
  • het volume van verzamelde persoonsgegevens en/of het aantal verzamelde categorieën van persoonsgegevens (worden er bv. enkel namen en mailadressen verzameld, of ook informatie over de hobby’s, professionele activiteiten, gezinssituatie, …?)
  • is de verwerkingsactiviteit van persoonsgegevens van bepaalde duur, of worden ze langdurig of zelfs permanent verwerkt?
  • de geografische draagwijdte van de verwerkingsactiviteiten; strekt de verwerking zich uit over meerdere landen?
• Er worden aspecten met betrekking tot de prestaties van de betrokkene op het werk, de economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen geëvalueerd of gescoord, geprofileerd of voorspeld. Bijvoorbeeld: het opstellen van profielen aan de hand van gebruik of navigatie op websites, het aanbieden van genetische tests aan personen om ziekte- of gezondheidsrisico’s te beoordelen en/of te voorspellen, het verzamelen van gegevens van sociale media om profielen op te maken, …
• De persoonsgegevens worden gedeeld met of overgedragen naar landen buiten de grenzen van de EER, of naar een land dat niet op de 'witte lijst' staat. Bijvoorbeeld: doorgifte van persoonsgegevens aan onderzoekers van een universiteit buiten de EER; dataopslag op cloudservices die gevestigd zijn buiten de EER…
• Het onderzoek betreft datasets die mogelijks gecombineerd zijn of zullen worden. Wanneer persoonsgegevens verzameld werden in een of meer verwerkingsactiviteiten met verschillende doeleinden en/of door verschillende verwerkingsverantwoordelijken op een manier die niet binnen de redelijke verwachtingen van de betrokkene(n) zou vallen.
• De verwerking is gericht op het nemen van beslissingen die juridische of vergelijkbare significante gevolgen hebben voor de betrokkene. De verwerking zou bijvoorbeeld kunnen leiden tot uitsluiting of discriminatie van de betrokkenen. Voorbeelden (zwaarwichtige) juridische gevolgen: beëindiging overeenkomst, toekenning/ weigering sociale uitkeringen, weigering toelating tot een land… Voorbeelden vergelijkbare significante gevolgen: kredietbeoordelingen, ontzegging toegang gezondheidszorgdiensten, werkgelegenheidskansen of onderwijs (bv. toelating universiteit), doorgedreven profiling (in concreto te beoordelen), …
• De verwerking zorgt ervoor dat de betrokkenen een recht niet kunnen uitoefenen of gebruik kunnen maken van een dienst of een contract.
• Je onderzoek omvat het systematisch monitoren van personen in één of meer publiek toegankelijke domeinen. Bijvoorbeeld: camerabeelden op publiek toegankelijke ruimten (zoals een treinstation, straat, marktplein, publieke bibliotheek, …)
• Je onderzoek betreft innovatief gebruik of toepassing van technologische of organisatorische oplossingen, zoals het combineren van vingerafdrukken en gezichtsherkenning voor verbeterde fysieke toegangscontrole. Bijvoorbeeld: innovatieve toepassingen met behulp van artificiële intelligentie, geautomatiseerde nummerplaatherkenning, …
• Je onderzoek betreft de verwerking van niet-gepseudonimiseerde persoonsgegevens. Dit wil zeggen, het verwerken van ruwe persoonsgegevens binnen uw onderzoek, waarbij de onderzoeksdata niet gesplitst zijn van de persoonsgegevens (bv. respondenten worden bij naam genoemd).

Aan de UGent zijn deze criteria om na te gaan of jouw onderzoek al dan niet een waarschijnlijke risicoverwerking vormt, ingebed in de registratie van verwerkingsactiviteiten (AVG register - vraag 25) via de online planningstool DMPonline.be (zie ook AVG: Hoe registreer ik mijn verwerkingenvan persoonsgegevens?).

Als twee of meer van deze criteria van toepassing zijn op de verwerking van persoonsgegevens in jouw onderzoek, vormt jouw onderzoek een waarschijnlijk hoog risico en moet je dit aangeven bij vraag 26. In dit geval wordt een GEB geadviseerd om de privacyrisico's in verband met de verwerking duidelijk in beeld te brengen.

Hoe moet ik een GEB uitvoeren?

Als er twee of meer risico's van toepassing zijn, vormt de geplande gegevensverwerking in jouw onderzoek een waarschijnlijk hoog risico en moet je de sectie 'GEB' in DMPonline.be invullen.

We raden je aan om eerst alle vragen van de sectie ‘AVG-register’ in te vullen voordat je de sectie ‘GEB’ start.

In de GEB-sectie wordt gevraagd om de risico's voor de betrokkenen te beschrijven, deze risico’s en de noodzaak en evenredigheid van de verwerking te beoordelen en de technische en organisatorische maatregelen te beschrijven die genomen worden om de risico's te beperken. Door de vragen in de GEB in te vullen, zal je in staat zijn om de impact en de waarschijnlijkheid van de risico's in je onderzoek in te schatten. Door de impact van de risico’s af te wegen ten opzichte van de waarschijnlijkheid en de genomen maatregelen, zou je op het einde moeten kunnen aangeven of er nog  overblijvende risico's in je onderzoek zijn en of deze al dan niet acceptabel zijn.

Indien je na het uitvoeren van de GEB tot de conclusie komt dat er overblijvende risico’s zijn die niet acceptabel zijn, dan ben je verplicht om de DPO te contacteren (via privacy@ugent.be (UGent) of dpo@uzgent.be (UZGent)) voor de aanvang van de verwerking.

Houd er rekening mee dat de GEB uitgevoerd moet worden vóór de verwerking en dat deze gedurende het onderzoek up-to-date gehouden moet worden.

Voor onderzoek aan/in samenwerking met UZGent: Aangezien een GEB ook betrekking kan hebben op een reeks vergelijkbare verwerkingsactiviteiten (of onderzoeksprojecten) die vergelijkbare hoge risico's met zich meebrengen, kan er hiervoor één GEB gemaakt/gebruikt worden. Voor retrospectief onderzoek en voor prospectief onderzoek uitgevoerd in het Universitair Ziekenhuis Gent werd er reeds een dergelijk GEB-sjabloon uitgewerkt.  Deze sjablonen kunnen geconsulteerd worden op het UZGent intranet en ter inspiratie of ter aanvulling gebruikt worden. Desalniettemin is de GEB-sectie (in DMPonline.be) nog steeds vereist.

More information

•    Privacy and research