AVG: Wanneer verwerk ik persoonsgegevens met een hoog risico en wanneer moet ik een GEB uitvoeren?

Wat is een GEB?


Wanneer de aard van de persoonsgegevens of de verwerking voor de betrokkenen een waarschijnlijk hoog risico met zich meebrengt, ben je verplicht om voor de aanvang van de verwerking een risicoanalyse uit te voeren, een zogenaamde gegevensbeschermingseffectbeoordeling (afgekort ‘GEB’).


Een GEB is een instrument om voor de start van je onderzoek de privacyrisico's te identificeren. Een GEB zal je helpen de risico's voor de rechten en vrijheden van betrokken als gevolg van de verwerking van hun persoonsgegevens te beheren (door ze te beoordelen en maatregelen te nemen om ze aan te pakken).


Een GEB kan betrekking hebben op één bepaald onderzoek, maar ook op een reeks vergelijkbare verwerkingsactiviteiten (of onderzoeksprojecten) die vergelijkbare hoge risico's met zich meebrengen.

Wanneer moet ik een GEB uitvoeren?


De volgende criteria of mogelijke risico's helpen je om te bepalen of de verwerking van persoonsgegevens binnen jouw onderzoek al dan niet een waarschijnlijke hoog risico vormt:

  • Er worden bijzondere categorieën van persoonsgegevens verwerkt.
  • Er worden persoonsgegevens van kinderen of andere kwetsbare personen verwerkt.
  • Er worden persoonsgegevens op grote schaal verwerkt (houd rekening met het aantal betrokkenen, hetzij als een specifiek aantal of als een deel van de relevante populatie).
  • Aspecten met betrekking tot de prestaties van de betrokkene op het werk, de economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen worden geëvalueerd of gescoord, geprofileerd of voorspeld.
  • De persoonsgegevens worden gedeeld met of overgedragen naar landen buiten de grenzen van de EER, of naar een land dat niet op de 'witte lijst' staat.
  • Het onderzoek betreft datasets die mogelijks gecombineerd zijn of zullen worden.
  • De verwerking is gericht op het nemen van beslissingen die juridische of vergelijkbare significante gevolgen hebben voor de betrokkene. De verwerking zou bijvoorbeeld kunnen leiden tot uitsluiting of discriminatie van de betrokkenen.
  • De verwerking zorgt ervoor dat de betrokkenen een recht niet kunnen uitoefenen of gebruik kunnen maken van een dienst of een contract.
  • Je onderzoek omvat het systematisch monitoren van personen in één of meer publiek toegankelijke domeinen.
  • Je onderzoek betreft innovatief gebruik of toepassing van technologische of organisatorische oplossingen, zoals het combineren van vingerafdrukken en gezichtsherkenning voor verbeterde fysieke toegangscontrole.  
  • Je onderzoek betreft de verwerking van niet-gepseudonimiseerde persoonsgegevens.

Aan de UGent zijn deze criteria om na te gaan of jouw onderzoek al dan niet een waarschijnlijke risicoverwerking vormt, ingebed in de registratie van verwerkingsactiviteiten (AVG register - vraag 25) via de online planningstool DMPonline.be (zie ook AVG: Hoe registreer ik mijn verwerkingen van persoonsgegevens?).

Als twee of meer van deze criteria van toepassing zijn op de verwerking van persoonsgegevens in jouw onderzoek, vormt jouw onderzoek een waarschijnlijk hoog risico en moet je dit aangeven bij vraag 26. In dit geval wordt een GEB geadviseerd om de privacyrisico's in verband met de verwerking duidelijk in beeld te brengen.


Hoe moet ik een GEB uitvoeren?


Als er twee of meer risico's van toepassing zijn, vormt jouw onderzoek een waarschijnlijk hoog risico en moet je de sectie 'GEB' in DMPonline.be invullen.


We raden je aan om eerste alle vragen van de sectie ‘AVG-register’ in te vullen voordat je de sectie ‘GEB’ start.


In de GEB-sectie wordt gevraagd om de risico's voor de betrokkenen te beschrijven, deze risico’s en de noodzaak en evenredigheid van de verwerking te beoordelen en de technische en organisatorische maatregelen te beschrijven die genomen worden om de risico's te beperken. Door de vragen in de GEB in te vullen, zal je in staat zijn om de impact en de waarschijnlijkheid van de risico's in je onderzoek in te schatten. Door de impact van de risico’s af te wegen ten opzichte van de waarschijnlijkheid en de genomen maatregelen, zou je op het einde moeten kunnen aangeven of er nog  overblijvende risico's in je onderzoek zijn en of deze al dan niet acceptabel zijn.


Indien je na het uitvoeren van de GEB tot de conclusie komt dat er overblijvende risico’s zijn die niet acceptabel zijn, dan ben je verplicht om de DPO te contacteren (via privacy@ugent.be (UGent) of dpo@uzgent.be (UZGent)) voor de aanvang van de verwerking.


Houd er rekening mee dat de GEB uitgevoerd moet worden vóór de verwerking en dat deze gedurende het onderzoek up-to-date gehouden moet worden.


Voor onderzoek aan/in samenwerking met UZGent: Aangezien een GEB ook betrekking kan hebben op een reeks vergelijkbare verwerkingsactiviteiten (of onderzoeksprojecten) die vergelijkbare hoge risico's met zich meebrengen, kan er hiervoor één GEB gemaakt/gebruikt worden. Voor retrospectief onderzoek en voor prospectief onderzoek uitgevoerd in het Universitair Ziekenhuis Gent werd er reeds een dergelijk GEB-sjabloon uitgewerkt.  Deze sjablonen kunnen geconsulteerd worden op het UZGent intranet en ter inspiratie of ter aanvulling gebruikt worden. Desalniettemin is de GEB-sectie (in DMPonline.be) nog steeds vereist.

More information


•    Privacy and research

Meer tips

Translated tip


Laatst aangepast 3 juni 2020 14:49