Wat is een verwerking?

De Algemene verordening gegevensbescherming (AVG) spreekt over het verwerken van persoonsgegevens. Wat valt hier onder? In dit artikel lichten we dit begrip toe.

Marcel van Langen
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Google Normity - Icoon - Plus

Persoonsgegevens

Wanneer we het hebben over verwerkingen, is het goed om eerst kort stil te staan bij het begrip Persoonsgegevens. Immers, de AVG spreekt specifiek over het verwerken van persoonsgegevens. Gelukkig geeft de AVG zelf in artikel 4 al een toelichting op het begrip Persoonsgegeven: 'alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon'. Het gaat er met andere woorden om dat we met het gegeven een natuurlijk persoon kunnen identificeren of makkelijk kunnen identificeren. Dit kan aan de hand van een naam, locatiegegevens of bepaalde fysieke kenmerken. Voorbeelden van persoonsgegevens zijn:

  • Achternaam
  • Adres
  • Emailadres
  • Identiteitskaart
  • Locatiegegevens
  • IP-adres
  • Gezichtsafbeelding
  • Vingerafdruk

En zo kunnen we nog wel even doorgaan. In de praktijk zijn er nogal wat twijfelgevallen en uitzonderingen, maar dat is voor een ander artikel. Voor nu is het voldoende om te weten dat al deze persoonsgegevens door de AVG worden beschermd.

Verwerken

Dan komen we nu bij het verwerken. Want wat is dat dan precies? Pakken we er opnieuw artikel 4 van de AVG, dan vinden we daar de definitie van de verwerking van persoonsgegevens. En alvast een spoiler: het gaat om veel meer dan alleen het verstrekken van persoonsgegevens aan derden!

elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Dit artikel maakt meteen duidelijk dat het begrip Verwerken erg ruim is. Sterker nog: de lijst met handelingen in dit artikel is nadrukkelijk niet limitatief. Het betekent eigenlijk vrijwel alles wat je met een persoonsgegeven kunt doen: van verzamelen en ordenen tot wissen en vernietigen aan toe. Met andere woorden: het gaat niet alleen over het verstrekken, maar vrijwel alle handelingen die een persoon of organisatie met jouw persoonsgegevens kan doen. Het maakt daarbij voor de bescherming niet uit of de handeling handmatig wordt gedaan of geautomatiseerd. Enkele voorbeelden van verwerkingen zijn:

  • Opslaan van beelden van beveiligingscamera's
  • Het verzenden van bulk e-mails
  • Het vernietigen van documenten met persoonsgegevens
  • Het plaatsen van iemands foto op jouw website
  • Het loggen van IP adressen van gebruikers
  • Het opnemen van ziektebeelden in een dossier
  • Het bijhouden van een salarisadministratie

Grondslag en doel

In de praktijk hangt de discussie rondom het begrip Verwerkingen nauw samen met de begrippen grondslag en doelbinding. Voor het vinden van een grondslag geeft de AVG duidelijke aanwijzingen. Voorbeelden van grondslagen die daar genoemd zijn, zijn onder andere toestemming, wettelijke verplichtingen en gerechtvaardigd belang. Wij gaan daar in een volgend artikel nader op in. Daarnaast moet je de gegevens voor een specifiek doel verwerken. Wat die doelen precies zijn noemt de AVG niet. Maar de AVG geeft wel aan dat deze doelen gerechtvaardigd moeten zijn. Ook hier staan we in een volgend artikel bij stil.

Register

Gelukkig zien we steeds meer organisaties die hun verwerkingen goed bijhouden in een zogenaamd verwerkingsregister. Dit register heet ook wel het 'register van verwerkingsactiviteiten'. Voor vrijwel alle organisaties is het bijhouden van zo'n register zelfs verplicht. Heb jij er al één in jouw organisatie? In dat register houdt de organisatie precies bij welke persoonsgegevens worden verwerkt, voor welk doel en met welke grondslag. Daarnaast bevat het register aanvullende informatie, zoals de bewaartermijnen, de beveiliging en de ontvangers.

AVG Autoriteit persoonsgegevens verwerking verwerkingen privacy toelichting natuurlijk persoon locatie naam achternaam identiteit vingerafdruk verstrekken verstrekking verzamelen vastleggen opslaan bijwerken wijzigen doorzenden verspreiden wissen vernietigen camera email salarisadministratie grondslag doelbinding register
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Google Normity - Icoon - Plus

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management