Verwerken van persoonsgegevens
Verwerken van persoonsgegevens houdt in: alles wat een organisatie met persoonsgegevens kan doen, van verzamelen tot en met vernietigen. Verwerken is dus een zeer ruim begrip.
Op deze pagina
Verwerken volgens de AVG
Volgens de Algemene verordening gegevensbescherming (AVG) vallen in ieder geval de volgende handelingen onder het verwerken van persoonsgegevens: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernietigen.
Voorbeelden verwerken
Voorbeelden van het verwerken van persoonsgegevens zijn:
- een foto van iemand op een website plaatsen;
- beelden van beveiligingscamera's opslaan;
- e-mailadressen verzamelen om een nieuwsbrief te versturen;
- een ledenadministratie bijhouden door een vereniging;
- IP- of MAC-adressen verzamelen;
- een dossier op naam van een persoon opvragen;
- (personeels)dossiers wissen nadat de bewaartermijn is verlopen;
- een bestand raadplegen met daarin (bijzondere) persoonsgegevens;
- een elektronisch medisch dossier verwijderen.
Geen verwerking persoonsgegevens
Het verstrekken van informatie hoeft niet altijd een verwerking te zijn. Vraagt een organisatie bijvoorbeeld algemene informatie op bij een andere organisatie? Zonder dat de eerste organisatie daarbij persoonsgegevens noemt? En verstrekt de andere organisatie ook geen persoonsgegevens? Dan hoeft er geen sprake te zijn van verwerken. En is de AVG niet van toepassing.
Verwerkingsverantwoordelijke, verwerker, betrokkene
Bij de verwerking van persoonsgegevens kunnen verschillende partijen betrokken zijn. Ten eerste de organisatie die persoonsgegevens verwerkt. In de AVG heet die de 'verwerkingsverantwoordelijke'. Of de 'verwerker', als de organisatie gegevens verwerkt voor een opdrachtgever. De persoon van wie de organisatie persoonsgegevens verwerkt, wordt de 'betrokkene' genoemd. Dat is dus degene over wie de gegevens gaan.
Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke (ook wel 'verantwoordelijke' genoemd) is een organisatie of persoon die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt. De verwerkingsverantwoordelijke kan dit alleen doen of samen met anderen. Het houdt in dat de verwerkingsverantwoordelijke uiteindelijk beslist of een organisatie persoonsgegevens verwerkt, en zo ja:
- om welke verwerking het gaat;
- welke persoonsgegevens de organisatie hierbij verwerkt;
- voor welk doel de organisatie dit doet;
- op welke manier de organisatie dit doet.
Verwerker
Organisaties schakelen vaak andere organisaties in om persoonsgegevens voor hen te verwerken. Bijvoorbeeld door de boekhouding uit te besteden. Of door gebruik te maken van een clouddienst die persoonsgegevens opslaat. Zo'n andere organisatie handelt dan onder verantwoordelijkheid van de opdrachtgever en heet een verwerker.
Meer weten? Lees verder bij: Rollen verantwoordelijke en verwerker.
Grootschalige verwerking
In de AVG komt de term 'grootschalig' voor.
Is een verwerking grootschalig, dan moet u altijd een data protection impact assessment (DPIA) uitvoeren. U kunt ook verplicht zijn een functionaris gegevensbescherming (FG) aan te stellen, maar dit geldt niet voor alle grootschalige verwerkingen.
U moet een FG aanstellen als u:
- Op grote schaal mensen volgt of hun activiteiten in kaart brengt (AVG: "regelmatige en stelselmatige observatie op grote schaal van betrokkenen"). En dit een kernactiviteit van uw organisatie is. Bijvoorbeeld: profilering van mensen voor het maken van risico-inschattingen, cameratoezicht of personeelsvolgsystemen. OF
- Op grote schaal bijzondere persoonsgegevens of strafrechtelijke persoonsgegevens verwerkt. En dit een kernactiviteit van uw organisatie is.
Maar hoe weet u of uw verwerking grootschalig is? In de AVG staat niet precies uitgelegd wat 'grootschalig' inhoudt. Wel zijn er criteria en voorbeelden die u als organisatie op weg helpen om uit te zoeken of uw verwerking grootschalig is of niet.
Criteria grootschalige gegevensverwerking
Wilt u bepalen of uw organisatie volgens de wet op grote schaal (bijzondere) persoonsgegevens verwerkt? Kijk dan naar deze criteria:
- het aantal betrokkenen;
- de hoeveelheid gegevens die u verwerkt;
- de duur van de gegevensverwerking;
- de geografische reikwijdte van de verwerking.
Voorbeelden van grootschalige verwerkingen
Dit is een aantal voorbeelden van verwerkingen die de Europese privacytoezichthouders als grootschalig zien:
- Een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
- Een vervoersmaatschappij die reisinformatie verwerkt van mensen die met het openbaar vervoer in een bepaalde stad reizen. Bijvoorbeeld door hen te volgen via reiskaarten.
- Een verwerker die gespecialiseerd is in marktonderzoek en die in opdracht van een internationale fastfoodketen de actuele locatiegegevens van klanten verwerkt voor statistische doeleinden.
- Een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
- Een zoekmachine die persoonsgegevens verwerkt om advertenties te kunnen tonen op basis van internetgedrag.
- Een telefoon- of internetprovider die gegevens verwerkt over het telefoon- en/of internetgedrag van klanten. Zoals inhoud, verkeer en locatie.
Voorbeeld van een niet-grootschalige verwerking
De privacytoezichthouders beschouwen verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten ('eenpitters') niet als grootschalig.