Toepasselijkheid AVG

Twee kernbegrippen: ‘verwerken’ en ‘persoonsgegevens’

 

Versimpeld weergegeven, is de AVG van toepassing zodra sprake is van ‘verwerken’ van ‘persoonsgegevens’ binnen de Europese Economische Ruimte.

 

Maar wat zijn nu persoonsgegevens en wat wordt bedoeld met verwerken?

 

Een persoonsgegeven is elk stukje informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (lees: een mens van vlees en bloed). Voorbeelden van persoonsgegevens zijn: NAW- gegevens, e-mailadressen, rekeningnummers, identificatiecodes, IP-adressen, enz. Gevoelige persoonsgegevens, zoals iemands ras, etniciteit, gezondheid, seksuele geaardheid en dergelijke worden bijzondere persoonsgegevens genoemd. Hiervoor geldt een strenger regime dan voor reguliere persoonsgegevens, dat erop neerkomt dat verwerking verboden is, tenzij er een wettelijke uitzondering geldt. Een soortgelijke regeling geldt voor gegevens over iemands strafrechtelijke antecedenten.

 

Met verwerken wordt samengevat bedoeld: iedere handeling die met persoonsgegevens kan worden uitgevoerd, al dan niet geautomatiseerd. In feite komt nagenoeg ieder werkwoord in aanmerking, bijvoorbeeld: verzamelen, opslaan, kopiëren, wijzigen, afschermen, verwijderen, etc.

 

Zowel ‘persoonsgegevens’ als ‘verwerken’ zijn dus ruime begrippen. De AVG is van toepassing op elke geautomatiseerde verwerking en op (ook niet-geautomatiseerde) verwerkingen van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

 

Het is daarom eigenlijk niet voorstelbaar dat er organisaties zijn die helemaal niet aan verwerking van persoonsgegevens doen. Al bij basale bedrijfsprocessen als personeelsadministratie en klantbeheer wordt immers per definitie gebruik gemaakt van persoonsgegevens. Alle organisaties moeten dus voldoen aan de strengere regels die de AVG stelt ten opzichte van de oude Wbp, die sowieso een ietwat 'sluimerend' bestaan leidde.

Onze privacyrechtadvocaten