Voorafgaande raadpleging

Is uit een data protection impact assessment (DPIA) naar voren gekomen dat een verwerking die een organisatie van plan is een hoog privacyrisico oplevert? En lukt het deze organisatie niet om maatregelen te vinden om dit risico te beperken? Dan moet de organisatie de verwerking aan de Autoriteit Persoonsgegevens (AP) voorleggen. Dit noemen we een voorafgaande raadpleging. 

Op deze pagina

Voorafgaande raadpleging of VR

Een voorafgaande raadpleging wordt soms ook aangeduid met de afkorting VR.

VR is wettelijk verplicht

De verplichting om een voorafgaande raadpleging aan te vragen staat in de:
 

  • Algemene verordening gegevensbescherming (AVG);
  • Wet politiegegevens (Wpg);
  • Wet justitiële en strafvorderlijke gegevens (Wjsg).

Is een VR nodig?

Als organisatie bepaalt u zelf of een voorafgaande raadpleging in uw geval verplicht is. Heeft uw organisatie een functionaris gegevensbescherming (FG)? Dan kan de FG u hierover adviseren.

U bepaalt of u een voorafgaande raadpleging moet aanvragen bij de AP door naar de uitkomsten van uw DPIA te kijken en vast te stellen:

  • wat de geïnventariseerde privacyrisico’s zijn van uw voorgenomen verwerking;
  • welke maatregelen u kunt treffen om deze risico’s te beperken.

Maatregelen mogelijk

Is het gelukt om maatregelen vast te stellen? Dan hoeft u geen voorafgaande raadpleging aan te vragen.

Maatregelen niet mogelijk

Lukt het u niet om maatregelen vast te stellen? Dus blijft het risico hoog (er is een restrisico)? Dan moet u een voorafgaande raadpleging aanvragen bij de AP.

Een voorbeeld van een onacceptabel hoog risico is als de verwerking aanzienlijke of zelfs onomkeerbare gevolgen heeft voor de betrokkenen. En zij hiertegen niets kunnen doen en/of het overduidelijk is dat het risico zal optreden.

Vragen?

Heeft u vragen over de procedure voor de voorafgaande raadpleging? Of twijfelt u bijvoorbeeld of u een voorafgaande raadpleging moet aanvragen? Dan kunt u dat eenmalig informeel met de AP bespreken.

Grondslag is uw eigen verantwoordelijkheid

Het is uw eigen verantwoordelijkheid om de grondslag voor uw verwerking te bepalen. De AP kan daarover vooraf alleen in algemene zin voorlichting geven. Of achteraf (na onderzoek) beoordelen of de grondslag toereikend is voor een bepaalde verwerking.

De voorafgaande raadpleging is niet bedoeld om advies te vragen over welke grondslag u moet kiezen voor uw verwerking. Of om te vragen of u de juiste grondslag heeft gekozen. De voorafgaande raadpleging is bedoeld om de restrisico’s van een verwerking aan de AP voor te leggen. Een ontbrekende of ontoereikende grondslag is geen restrisico, maar gaat over de basis van de verwerking.

Aanvragen VR

U kunt als verwerkingsverantwoordelijke een voorafgaande raadpleging aanvragen bij de AP. Dit doet u als volgt:

  • Download het Aanvraagformulier voorafgaande raadpleging.
  • Geef antwoord op alle vragen die op uw situatie van toepassing zijn.
  • Stuur de ingevulde vragenlijst op aan de AP. Stuur uw DPIA mee en ook het advies van de FG, als u dit heeft. Stuur alle stukken naar:

    Autoriteit Persoonsgegevens
    Aanvraag voorafgaande raadpleging
    Postbus 93374
    2509 AJ Den Haag.

Let op:

  • Zo lang de AP uw aanvraag nog niet heeft beoordeeld, mag u niet starten met de gegevensverwerking.
  • De AP verwerkt uw persoonsgegevens als u een aanvraag doet. Wilt u hierover meer weten, lees dan de Privacyverklaring van de AP.
  • De AP neemt uw aanvraag alleen in behandeling als u alle vragen heeft beantwoord die over uw situatie gaan en u de DPIA en het eventuele advies van de FG meestuurt.

Niet in behandeling nemen aanvraag

De AP kijkt bij ontvangst van uw aanvraagformulier eerst of de AP uw aanvraag in behandeling neemt. De AP neemt uw aanvraag niet in behandeling als:

  • Er geen sprake is van een verwerking van persoonsgegevens.
  • De verwerking duidelijk geen hoog risico (meer) oplevert volgens de AP en/of u als aanvrager. De AP gaat in het laatste geval uit van uw eigen beoordeling, omdat u er zelf verantwoordelijk voor bent dat u de wet naleeft. De AP doet dan geen inhoudelijke beoordeling.
  • De aanvraag alleen gaat over een mogelijk ontbrekende of onvolledige grondslag.
  • Het formulier niet goed is ingevuld en de verstrekte informatie daardoor onvolledig, tegenstrijdig of op een andere manier onduidelijk is.
  • De DPIA ontbreekt, niet aan de eisen voldoet of onaannemelijk is.

Neemt de AP uw aanvraag niet in behandeling, dan krijgt u hierover een brief.

Ontbrekende informatie

Kan de AP uw aanvraag niet in behandeling nemen omdat er informatie ontbreekt? Dan staat dat in de brief, net als om welke informatie het gaat. U krijgt dan de mogelijkheid om die ontbrekende informatie alsnog binnen een bepaalde termijn aan te leveren. Stuurt u de gevraagde informatie niet op tijd op? Dan neemt de AP uw aanvraag definitief niet verder in behandeling.

Inhoudelijke beoordeling VR

Neemt de AP uw aanvraag in behandeling? Dan kijkt de AP daarna eerst of uw voorgenomen verwerking voldoet aan de eisen uit de AVG, de Wpg of de Wjsg. 

Geldige grondslag

Een voorafgaande raadpleging is niet bedoeld voor advies over de grondslag van de verwerking. De AP neemt een aanvraag die alleen daarover gaat dan ook niet in behandeling. Maar de AP moet de grondslag wel beoordelen.

Want ontbreekt de grondslag of is die ontoereikend? Dan is de verwerking op grond daarvan al onrechtmatig. Terwijl er geen maatregelen mogelijk zijn om de privacyrisico’s te beperken, omdat een toereikende grondslag de basis is van een verwerking.

Beoordeling risico’s

Daarnaast beoordeelt de AP vooral de risicovolle aspecten van de voorgenomen verwerking en de maatregelen die nodig zijn om de risico’s te beperken.

Grensoverschrijdende verwerking

De AP beoordeelt bij elke aanvraag ook of er sprake is van een grensoverschrijdende verwerking. En dus of de AP bij de beoordeling van de aanvraag moet samenwerken met andere EU-lidstaten of EU-instanties.

  • Is de AP de leidende toezichthouder? Dan geeft de AP een reactie op uw aanvraag.
  • Is de AP niet de leidende toezichthouder? Dan draagt de AP uw aanvraag over aan de leidende toezichthouder. U krijgt dan een reactie van die toezichthouder.

Uitkomsten VR

De AP laat u schriftelijk weten wat de uitkomst is van de voorafgaande raadpleging. Er zijn 3 uitkomsten mogelijk:

  1. Positief advies: De AP oordeelt weliswaar dat uw voorgenomen verwerking inbreuk maakt op de AVG, Wpg of Wjsg, maar dat er maatregelen mogelijk zijn om ervoor te zorgen dat dat niet gebeurt. U krijgt daarbij advies van de AP. Hierin geeft de AP aan waarom de voorgenomen verwerking inbreuk maakt op de wet. En welke maatregelen of veranderingen er nodig zijn om ervoor te zorgen dat dit niet gebeurt. U moet deze maatregelen doorvoeren. Pas daarna mag u starten met de verwerking.
  2. Negatief advies: De AP oordeelt dat het niet gaat lukken om inbreuk op de AVG, Wpg of Wjsg te voorkomen. Ook niet met extra waarborgen of maatregelen. De AP adviseert u om helemaal van de verwerking af te zien. U krijgt dan alleen een eindbrief.
  3. Advies niet nodig: Een advies van de AP is niet nodig. Bijvoorbeeld omdat de risico's toch voldoende blijken te zijn afgedekt. U krijgt dan alleen een eindbrief. En u mag direct met de verwerking starten.

Wettelijke behandeltermijn

Wanneer de AP uw aanvraag in behandeling neemt, begint de wettelijke behandeltermijn. Die is:

  • AVG: 8 weken met een mogelijke verlenging van 6 weken, dus maximaal 14 weken;
  • Wpg of Wjsg: 6 weken met een mogelijke verlenging van 4 weken, dus maximaal 10 weken.​

De AP kan de termijnen met het genoemde aantal weken verlengen als uw voorgenomen verwerking erg complex is.

AP heeft meer informatie nodig

Heeft de AP tijdens de beoordeling meer informatie nodig? Dan vraagt de AP u om deze informatie binnen een bepaalde termijn te geven. U kunt hiervoor uitstel aanvragen. 
 

  • Gaat het om een AVG-verwerking? Dan wordt de behandeltermijn onderbroken als de AP om nadere informatie vraagt. 
  • Gaat het om een Wpg-verwerking of een Wjsg-verwerking? Dan blijft de behandeltermijn doorlopen als de AP om nadere informatie vraagt. De Wpg en Wjsg kennen de mogelijkheid van onderbreking van de behandeltermijn niet.

Snelle antwoorden

Maakt de AP mijn voorafgaande raadpleging openbaar?

Nee, in principe niet. Soms kan de AP toch besluiten het advies over uw verwerking openbaar te maken. Bijvoorbeeld als dit van grote waarde kan zijn voor andere organisaties. Als de AP van plan is het advies openbaar te maken, dan laat de AP u dat vooraf weten.

Wat kan de AP doen als ik mij niet aan de regels houd voor de voorafgaande raadpleging?

In de volgende gevallen kan de AP aanleiding zien om een handhavend onderzoek in te stellen of een boete te geven:
 

  • wanneer u geen voorafgaande raadpleging aanvraagt terwijl dat wel verplicht is;
  • wanneer u al met verwerken bent begonnen voor of tijdens de voorafgaande raadpleging;
  • als na afloop van de voorafgaande raadpleging blijkt dat u gegevens verwerkt in strijd met het gegeven advies.

Moet ik als ministerie bij nieuwe wetgeving een voorafgaande raadpleging aanvragen?

Nee, meestal hoeft dat niet. Voor wetgeving over verwerking van persoonsgegevens geldt sowieso de verplichting om de AP om een toets te vragen, of er nou sprake is van hoog risico of niet (artikel 36, vierde lid, AVG).

In deze wetgevingstoets kijkt de AP al naar de privacyaspecten van de voorgenomen verwerking. Een aparte voorafgaande raadpleging zou in de systematiek van de AVG dubbelop zijn.

In de uitvoering of de uitvoeringssystemen kunnen zich vraagstukken van feitelijke aard voordoen waar de (nationale) wetgeving niet over gaat. Bijvoorbeeld omdat de regelgeving er niet voor nodig is of een ander abstractieniveau kent. Of omdat het onderwerp in beginsel al volledig door de AVG wordt geregeld (zoals beveiliging van de verwerking in artikel 32 AVG). 

Leveren dergelijke onderwerpen een hoog risico op? Dan kunt u daarover wél een voorafgaande raadpleging aanvragen bij de AP. Heeft u een dergelijke voorafgaande raadpleging aangevraagd? Vermeld dit dan bij uw verzoek om een wetgevingstoets.