Bel Ons: (+31) 651-191-613
Privacy Administratie
privacy administratie

Privacy Administratie

Basis Privacy Administratie

Waaraan moet een basis privacy administratie voldoen? De AVG noemt wel enkele eisen. Deze zijn echter vrij algemeen geformuleerd. Verder is dit afhankelijk van welke gegevens je verwerkt.

Volgens de Autoriteit Persoonsgegevens (hierna: AP) volstaat een basis privacy administratie wanneer je:

  • een lijst bijhoudt met NAW en andere gegevens van (potentiële) klanten;
  • een afsprakenlijst bijhoudt met klanten (een agenda dus);
  • telefoonnummers van klanten registreert;
  • of personeelsinformatie documenteert.

Let op: de letterlijke tekst van deze alinea zul je op de website van de AP waarschijnlijk niet terug vinden. De site van de AP is enorm uitgebreid. Maar hoe iets in een concreet geval moet worden uitgewerkt is vaak niet te vinden. Dat moet je indirect uit de tekst afleiden.

Uitgebreide Privacy Organisatie

Bedrijven met meer dan 250 medewerkers moeten een functionaris voor de gegevensbescherming (FG) te benoemen en een data protection impact assessment (DPIA) uitvoeren.

Volgens de AP geldt dat ook wanneer je organisatie op grote schaal A) individuen volgt of B) bijzondere persoonsgegevens van individuen verwerkt. Denk bij A) aan direct marketing en B) aan een organisatie in de gezondheidszorg. Een organisatie kan ook één ZZP’er of zelfstandige beroepsbeoefenaar zijn.

Bijzondere Persoonsgegevens

In beginsel is de verwerking van dit soort gegevens ‘verboden’. Dat is een wettelijke manier om aan te geven dat iets niet mag, ‘tenzij…’. De voorwaarden waaronder je wel mag verwerken worden vervolgens limitatief opgesomd.

Bijzondere persoonsgegevens zijn gegevens over iemands:

  • gezondheid
  • ras
  • godsdienst
  • politieke voorkeur
  • seksuele leven
  • lidmaatschap van een vakbond
  • strafrechtelijk verleden

Volgens de AP moet het bij de verwerking van bijzondere persoonsgegevens gaan om een kernactiviteit van de organisatie. Denk bij gezondheid aan een artsenpraktijk of ziekenhuis.

Let op: je mag alleen bijzondere persoonsgegevens verwerken als dit een kernactiviteit is van je organisatie. De AP noemt met name arts en advocaat. Is dit geen kernactiviteit van jouw organisatie dan mag je dergelijke bijzondere persoonsgegevens dus nooit verwerken.

Grootschalige Verwerking van Persoonsgegevens

Of je organisatie op grote schaal (bijzondere) persoonsgegevens verwerkt is volgens de AVG afhankelijk van de volgende criteria:
  • het aantal betrokkenen (de mensen van wie u gegevens verwerkt);
  • de hoeveelheid gegevens die u verwerkt;
  • de duur van de gegevensverwerking;
  • de geografische reikwijdte van de verwerking.

De AP geeft enkele voorbeelden zoals een direct marketing organisatie, een ziekenhuis of een gemeentelijk vervoersbedrijf.

Samenwerkende artsen en advocaten

Er zijn maar weinig voorbeelden hoe de AVG uitwerkt voor ZZP’ers en zelfstandige beroepsbeoefenaars. De AP noemt er twee: artsen en advocaten. De AP zegt daarover:

De gezamenlijke Europese toezichthouders beschouwen verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’) niet als grootschalig.

Van belang is wat hier niet staat. Wanneer er sprake is van een praktijk waarin meerdere artsen of advocaten samenwerken dan geldt dus wél de eis om een FG te benoemen of regelmatig een DPIA uit te voeren. Dat betekent een forse extra belasting voor kleinere organisaties.

Geef een reactie

Sluit Menu

Op de hoogte blijven over privacy en gegevensbescherming?

Schrijf in op onze nieuwsbrief: