8,4 / 10 201 beoordelingen op Springest
030-2308900 info@cibit.nl

Privacy: Wat betekent “verwerken”?


Het eerste blog ging over persoonsgegevens: Wat is nu eigenlijk een persoonsgegeven en waarom zijn er specifieke regels bedacht voor die gegevens?

In dit blog wordt de term ‘verwerken’ uitgediept. Wanneer ben ik nu aan het verwerken en wanneer ook niet. Is er onderscheid te maken in soorten verwerkingen? Ik zal ook ingaan op de verplichting om verwerkingen te registreren en hoe deze registratie kan worden opgezet.

Wettelijke definities verwerking

Maar eerst toch weer een stukje wetgeving. In het kader van persoonsgegevens komen we daar nu eenmaal niet onderuit. Het goede nieuws hiervan is trouwens wel weer dat er hele nieuwe samenwerkingsverbanden tot stand komen tussen juridische, ICT, risicomanagement en procesmanagement afdelingen.

Ook hier weer aandacht voor de AVG en waar nodig de UAVG. De definitie van verwerken is opgenomen in Artikel 4 lid 2:

„verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Dit geeft een uitgebreide definitie van handelingen, maar het komt er in het kort op neer dat alles wat je kan doen met gegevens onder de definitie van verwerken valt. Hierbij maakt het ook niet uit of het via een geautomatiseerd procedé kan lopen.

In de Memorie van toelichting komt ook expliciet tot uitdrukking dat de beginselen van gegevensbescherming technologie onafhankelijk zijn. En ook moeten worden ingevoerd als het een handmatige verwerking betreft. Het gaat om de bescherming van de verwerkte persoonsgegevens.

Hiernaast heeft de AVG ook nog een definitie van de term bestand in het zesde lid van Artikel 4:

„bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid.

Hierin is het woordje gestructureerd iets wat direct opvalt. Dus elke vorm van structuur brengen geeft in de relevantie van deze wet een bestand, zolang het toegankelijk is, en meer bevat dat de gegevens van 1 persoon. Dus gechargeerd, het op een grote (ongestructureerde) hoop gooien van visitekaartjes zou in het kader van deze wet niet direct een verwerking hoeven te zijn.

Beide definities zijn van belang omdat in Artikel 2:1 AVG wordt bepaald wanneer AVG van toepassing is.

Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

Dit artikel geeft in combinatie met de twee definities aan wanneer de AVG van toepassing is. Dus op alle programma’s, databases, Excel lijstjes, tekstbestanden, etc. waar gestructureerde gegevens in staan van een identificeerbare persoon. Maar ook alle rolodexen, fysieke (papieren)dossiers, smoelenboekjes, Enterprise directory’s, enzovoort, enzovoort.

En het hoeft nu niet in een bestand te staan, maar als de gegevens zijn verzameld om in een bestand opgenomen te worden (in de toekomst, of in een volgende stap in een proces) is het nog steeds een verwerking zoals bedoeld in de AVG.

Nu we het toch over Artikel 2 AVG hebben. Hierin is ook nog opgenomen wanneer de AVG niet van toepassing is. Dit is verder aangevuld in de UAVG Artikelen 2 t/m 5.

Eerst een aantal voorbeelden uit de dagelijkse praktijk. Zoals in het vorige blog al besproken, een foto kan in context een bijzonder persoonsgegeven zijn. Het maken van een smoelenboek (met foto’s met als doel identificatie) is daarmee een verwerking van bijzondere persoonsgegevens geworden. Immers, we hebben persoonsgegevens, en we structureren het ook nog eens. In een volgend blog kom ik op dit voorbeeld terug, want dit is ook in het kader van grondslag een bijzondere verwerking.

Het tweede voorbeeld. Het in een groot bestand bijhouden van contactgegevens van klanten is een verwerking. De vorm van het bestand maakt dan niet meer zo veel uit. Gelukkig heeft onze wetgever wel bedacht dat het moeten voldoen aan deze wetgeving voor een huishouden met een adresboekje een behoorlijk zwaar middel zou zijn.

Dit is één van de uitzonderingen in het AVG Artikel, de andere uitzonderingen in de UAVG hebben betrekking op specifieke verwerkingen in het kader van de BRP, de politie, justitie en inlichtingendiensten, de krijgsmacht en de kieswet. En in Artikel 85 AVG (en 43 UAVG) nog een uitsluiting voor journalistieke, artistieke of literaire doeleinden.

Nog een paar voorbeelden van verwerkingen die vallen onder de AVG: het door een klant van een winkel laten invullen van een antwoordstrookje, het op een website registreren van gegevens voor een event, het in een directory op een server zetten van een verzameling CV’s.

Verwerken in de praktijk

Er worden in de wet dus niet rechtstreeks verschillen gemaakt tussen verwerkingen. In een later blog kom ik nog terug op hoe verschillende soorten van persoonsgegevens verschillend behandeld moeten worden. Gelukkig is er bijvoorbeeld een verschil tussen hoe om moet worden gegaan met mijn medische gegevens en mijn naam.

Maar voor dit blog waar we kijken naar de algemene definitie van verwerken is er dus geen verschil.

Aan de verwerkingen worden een flink aantal eisen gesteld. Hierbij moet je denken aan eisen als behoorlijke en zorgvuldige verwerking, juiste grondslag, doelbinding, bewaartermijn, minimalisatie, beveiliging. Op elke eis kom ik in een later blog terug.

Om deze eisen te kunnen koppelen aan de verwerkingen, is het dus van belang dat we weten, welke verwerkingen eigenlijk plaatsvinden in een organisatie. Het zal je niet verbazen dat, als we al meer dan een kwart eeuw bezig zijn met het op orde brengen van iets basaals als een configuratiemanagement database, een overzicht van waar allemaal in bedrijven persoonsgegevens verzameld, bewerkt en opgeslagen worden niet altijd volledig inzichtelijk is.

Toch is dit ook vanuit de AVG ondertussen een verplichting. Er moet een register zijn van verwerkingen.

Bij nieuwe verwerkingen bestaat de mogelijkheid om bij de start aan te haken door middel van een verkorte Privacy Impact Analyse (PIA, en in de AVG vertaald als gegevensbeschermingseffectbeoordeling). Er is in de AVG een verplichting gesteld aan het uitvoeren van een PIA, als “gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen” en bij het gebruik van nieuwe technologieën.

Dit is binnen een organisatie goed te vertalen naar ‘we doen bij aanvang van het ontwerpen van een nieuw bedrijfsproces of een nieuw IT-systeem altijd een snelle toets of er in het proces of systeem ergens persoonsgegevens worden gebruikt’.

Maar dit helpt niet bij de al bestaande verwerkingen. Hiervoor komt het neer op “ouderwets” onderzoek. Vanuit het bedrijfsproces (top down) of vanuit het IT-systeem (bottom up) op zoek gaan naar die informatiestromen waar mogelijk iets van persoonsgegevens in verwerkt wordt. Het resultaat is de start van een register.

Na deze stap moet dit alleen nog aangevuld worden met welk proces en/of welk systeem persoonsgegevens verwerkt. En als je slim bent, ook de link tussen deze twee. Er bestaan een aantal software (privacy management) tools, die je kunnen helpen bij de administratie van het register.

Voor het onderzoek kunnen een aantal functionarissen in het bedrijf je goed helpen. Vanuit de informatie kant de Informatiemanagers, de (Enterprise) Architecten, en de Functioneel Beheerders. Vanuit de business kant, de Procesmanagers, de Compliancemanagers. En natuurlijk ook de business verantwoordelijke. Zij kunnen tenslotte worden aangesproken op hun verantwoordelijkheid voor de verwerking van gegevens ten behoeve van hun bedrijfsprocessen. Denk trouwens bij navragen ook aan afdelingen, die meestal niet direct in het primaire bedrijfsproces zitten (marketing, sales, HR, etc.).

De uitvraag kan worden gedaan met behulp van vragenlijsten of aan de hand van interviews. En natuurlijk door een deel deskresearch aan de hand van beschrijvingen van processen en systemen.

Het register moet ook formeel worden vastgesteld. En is onderdeel van de verplicht gestelde documentatie voor verwerkingen.

DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • Informatiebeveiliging uit een doosje?

    Hoe komt het toch dat er nog steeds een trend lijkt te bestaan dat informatiebeveiliging kan worden gekocht door een mooi nieuw doosje of product aan te schaffen? Het zou natuurlijk ook mooi zijn als die belofte eindelijk bewaarheid zou kunnen worden, maar ik zie steeds meer parallellen met de verkooptrucjes van allerlei prullaria die overdag op TV worden verkocht.

    Lees verder
  • Privacy: De AVG? Wij verzekeren ons wel

    De AVG? Wij verzekeren ons wel. Er gaan op verschillende plaatsen discussies rond met als strekking deze stelling. In deze blog een betoog waarom dit moreel (en juridisch) een verwerpelijk standpunt is.

    Lees verder
  • ​Privacy: Stand van zaken

    Tijdens deze blog gaat Jacques Eding het hebben over zijn bemerkingen rondom privacy nu we nog minder dan een jaar hebben voordat we aantoonbaar in control en compliant moeten zijn aan de Algemene Verordening Gegevensbescherming (AVG).


    Lees verder
  • Privacy: Bewaartermijnen uitgelegd

    In deze blog over privacy gaat Jacques Eding in op de verschillende onderdelen van een goed privacy management framework.

    Lees verder
  • Privacy: Wat is een Functionaris Gegevensbescherming?

    We zijn aangekomen bij deel zes van de blog serie. Zoals vorige week aangekondigd wordt deze blog weer iets praktischer van aard.

    Lees verder
  • ​Privacy: De wettelijke kaders voor de verwerking (vervolg)

    Dit is al weer het vijfde deel. We zijn gevorderd tot artikel 6 van de Algemene Verordening Gegevensbescherming (AVG), de rechtmatigheid van de verwerking. Wat er moet worden bepaald voor dat er sprake mag zijn van verzamelen en verwerken van persoonsgegevens.

    Lees verder
  • Privacy: wat is nu eigenlijk een persoonsgegeven?

    In deze blogreeks over privacy en privacymanagement gaat Jacques Eding in op de verschillende onderdelen van een goed privacymanagement framework.

    Lees verder
  • Privacy: Wat mag er eigenlijk verwerkt worden?

    Jacques Eding blogt over privacy: Wanneer mogen persoonsgegevens nu eigenlijk verwerkt worden?

    Lees verder
  • ​Privacy: De wettelijke kaders voor de verwerking

    In dit vierde deel behandelt Jacques weer meer formele insteek, wat er moet worden bepaald voordat er sprake mag zijn van verzamelen en verwerken van persoonsgegevens. Hij gaat verder met doelbinding, grondslagen voor verwerking en de begrippen proportionaliteit en subsidiariteit.

    Lees verder

Cookies op de website van Cibit

Wij plaatsen functionele cookies, om deze website naar behoren te laten functioneren, analytische cookies
waarmee wij het gebruik van de website kunnen meten en cookies van derden voor het weergeven van emdeded
media (YouTube en GoogleMaps) Hieronder kan je aangeven welke andere soorten cookies je wilt accepteren:

Meer informatie