Verwerken van persoonsgegevens

Verwerken volgens de AVG

Volgens de privacywet Algemene verordening gegevensbescherming (AVG) vallen in ieder geval de volgende handelingen onder het verwerken van persoonsgegevens: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernietigen.

Voorbeelden verwerken

Voorbeelden van het verwerken van persoonsgegevens zijn:

• een foto van iemand op een website plaatsen;
• beelden van beveiligingscamera's opslaan;
• e-mailadressen verzamelen om een nieuwsbrief te versturen;
• een ledenadministratie bijhouden door een vereniging;
• IP- of MAC-adressen verzamelen;
• een dossier op naam van een persoon opvragen;
• (personeels)dossiers wissen nadat de bewaartermijn is verlopen;
• een bestand raadplegen met daarin (bijzondere) persoonsgegevens;
• een elektronisch medisch dossier verwijderen.

Geen verwerking persoonsgegevens

Het verstrekken van informatie hoeft niet altijd een verwerking te zijn. Vraagt een organisatie bijvoorbeeld algemene informatie op bij een andere organisatie? Zonder dat de eerste organisatie daarbij persoonsgegevens noemt? En verstrekt de andere organisatie ook geen persoonsgegevens? Dan hoeft er geen sprake te zijn van verwerken. En is de AVG niet van toepassing.

Verwerkingsverantwoordelijke, verwerker, betrokkene

Bij de verwerking van persoonsgegevens kunnen verschillende partijen betrokken zijn. Ten eerste de organisatie die persoonsgegevens verwerkt. In de AVG heet die de 'verwerkingsverantwoordelijke'. Of de 'verwerker', als de organisatie gegevens verwerkt voor een opdrachtgever. De persoon van wie de organisatie persoonsgegevens verwerkt, wordt de 'betrokkene' genoemd. Dat is dus degene over wie de gegevens gaan.

Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke (ook wel 'verantwoordelijke' genoemd) is een organisatie of persoon die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt. De verwerkingsverantwoordelijke kan dit alleen doen of samen met anderen. Het houdt in dat de verwerkingsverantwoordelijke uiteindelijk beslist of een organisatie persoonsgegevens verwerkt, en zo ja:

• om welke verwerking het gaat;
• welke persoonsgegevens de organisatie hierbij verwerkt;
• voor welk doel de organisatie dit doet;
• op welke manier de organisatie dit doet.

Verwerker

Organisaties schakelen vaak andere organisaties in om persoonsgegevens voor hen te verwerken. Bijvoorbeeld door de boekhouding uit te besteden. Of door gebruik te maken van een clouddienst die persoonsgegevens opslaat. Zo'n andere organisatie heet een verwerker.

Voor meer informatie, zie: Rollen verantwoordelijke en verwerker.

Grootschalige verwerking

In de AVG komt de term 'grootschalig' voor. Maar er staat niet precies uitgelegd wat dit inhoudt. Wel zijn er criteria en voorbeelden die u als organisatie op weg helpen om uit te zoeken of uw verwerking grootschalig is of niet. Dit is van belang om te bepalen of u:

• een functionaris gegevensbescherming (FG) moet benoemen;
• een data protection impact assessment (DPIA) moet uitvoeren.

Volgens de AVG zijn een FG en een DPIA verplicht als u:

• op grote schaal individuen volgt;
• bijzondere persoonsgegevens van individuen verwerkt.

Voor beide aspecten geldt dat dit een kernactiviteit van uw organisatie moet zijn. 

Criteria grootschalige gegevensverwerking

Wilt u bepalen of uw organisatie volgens de wet op grote schaal (bijzondere) persoonsgegevens verwerkt? Kijk dan naar deze criteria:

• het aantal betrokkenen;
• de hoeveelheid gegevens die u verwerkt;
• de duur van de gegevensverwerking;
• de geografische reikwijdte van de verwerking.

Voorbeelden van grootschalige verwerkingen

Dit is een aantal voorbeelden van verwerkingen die de Europese privacytoezichthouders als grootschalig zien: 

• Een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
• Een vervoersmaatschappij die reisinformatie verwerkt van mensen die met het openbaar vervoer in een bepaalde stad reizen. Bijvoorbeeld door hen te volgen via reiskaarten.
• Een verwerker die gespecialiseerd is in marktonderzoek en die in opdracht van een internationale fastfoodketen de actuele locatiegegevens van klanten verwerkt voor statistische doeleinden.
• Een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
• Een zoekmachine die persoonsgegevens verwerkt om advertenties te kunnen tonen op basis van internetgedrag.
• Een telefoon- of internetprovider die gegevens verwerkt over het telefoon- en/of internetgedrag van klanten. Zoals inhoud, verkeer en locatie.

Voorbeeld van een niet-grootschalige verwerking

De privacytoezichthouders beschouwen verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten ('eenpitters') niet als grootschalig.