Wat ziet de AVG als een grootschalige verwerking van persoonsgegevens?

Antwoord

Als organisatie bent u volgens de Algemene verordening gegevensbescherming (AVG) onder meer verplicht een functionaris voor de gegevensbescherming (FG) te benoemen en een data protection impact assessment (DPIA) uit te voeren als u op grote schaal:

  • individuen volgt; of
  • bijzondere persoonsgegevens van individuen verwerkt.

Voor beide aspecten geldt dat dit een kernactiviteit van de organisatie moet zijn. In de AVG staat niet precies uitgelegd wat ‘grootschalig’ inhoudt. Wel zijn er criteria en voorbeelden die u op weg helpen.

Criteria grootschalige gegevensverwerking

Wilt u bepalen of uw organisatie volgens de wet op grote schaal (bijzondere) persoonsgegevens verwerkt? Kijk dan naar deze criteria:

  • het aantal betrokkenen (de mensen van wie u gegevens verwerkt);
  • de hoeveelheid gegevens die u verwerkt;
  • de duur van de gegevensverwerking;
  • de geografische reikwijdte van de verwerking.

Voorbeelden van grootschalige verwerkingen

Hieronder vindt u een aantal voorbeelden van verwerkingen die de Europese toezichthouders als grootschalig zien (bron: Guidelines on Data Protection Officers / Nederlandse vertaling guidelines).

  • Een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
  • Een vervoersmaatschappij die reisinformatie verwerkt van mensen die met het openbaar vervoer in een bepaalde stad reizen. Bijvoorbeeld door hen te volgen via reiskaarten.
  • Een verwerker die gespecialiseerd is in marktonderzoek en die in opdracht van een internationale fastfoodketen de actuele locatiegegevens van klanten verwerkt voor statistische doeleinden.
  • Een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
  • Een zoekmachine die persoonsgegevens verwerkt om advertenties te kunnen tonen op basis van internetgedrag.
  • Een telefoon- of internetprovider die gegevens verwerkt over het telefoon- en/of internetgedrag van klanten. Zoals inhoud, verkeer en locatie.

Voorbeeld van een niet-grootschalige verwerking

De gezamenlijke Europese toezichthouders beschouwen verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’) niet als grootschalig.

Standaard

De Europese privacytoezichthouders verwachten dat er op den duur een praktische standaard komt waarmee u eenvoudiger bepaalt of u volgens de AVG op grote schaal (bijzondere) persoonsgegevens verwerkt en dus een FG moet aanstellen en een DPIA moet uitvoeren. Zodra hierover meer bekend is, vindt u die informatie op deze website.


Datum: 1 oktober 2020
Bron: Autoriteit Persoonsgegevens