U bent hier

Onderneming & Administratie
Privacy en AVG19. Persoonsgegevens2.3 Verwerking

2.3 Verwerking

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: april 2018

In de privacywet komt het ‘verwerken’ van persoonsgevevens regelmatig terug. Het is verstandig om uw huiswerk te doen zodat u weet wat wordt verstaan onder het verwerken van persoonsgegevens.

Wettekst

In de wettekst van de AVG staat het volgende over het verwerken van persoonsgegevens:

‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.’

De wettekst uit de AVG klinkt complex, maar het komt er eigenlijk op neer dat zodra een individu of een organisatie persoonsgegevens in het bezit heeft, die zich bezighoudt met verwerken.

rollen

Iedereen kan persoonsgegevens verwerken. De AVG maakt onderscheid tussen een betrokkene, een verantwoordelijke en een verwerker (onder de WBP ‘bewerker’ genoemd). In het kader hieronder volgt een uitleg van deze drie rollen.

Ieder zijn rol binnen de AVG

betrokkene

verantwoordelijke

verwerker

Als het gaat over het verwerken van persoonsgegevens zijn er drie partijen die een rol (kunnen) spelen:

  • De betrokkene is de persoon bij wie de persoonsgegevens horen, en dus degene van wie persoonsgegevens worden verwerkt.
  • De verantwoordelijke is de persoon of organisatie die het doel en de middelen van het verwerken van persoonsgegevens bepaalt. Hij verwerkt de gegevens of laat dat onder zijn leiding doen. Bij het verwerken kunnen meerdere verantwoordelijken betrokken zijn.
  • De verwerker is degene die in opdracht van de verantwoordelijke (een deel van) het verwerken uitvoert. De verwerker is een externe partij waaraan de verantwoordelijke het verwerken van persoonsgegevens heeft uitbesteed. Dit is bijvoorbeeld de accountant die de salarisadministratie namens de verantwoordelijke organisatie uitvoert.

bestaande relatie

Het is van belang om per verwerking van persoonsgegevens te bepalen wie betrokkene, verantwoordelijke of verwerker is. Dat kan ook binnen een bestaande relatie per verwerking verschillen. In sommige gevallen kan een organisatie een verantwoordelijke zijn en voor andere verwerkingen weer een verwerker.

Een accountantskantoor kan bijvoorbeeld in de regel de verantwoordelijke organisatie zijn, maar voor bepaalde verwerkingen, zoals de salarisadministratie voor een klant, de verwerker. In hoofdstuk 4 leest u meer over het verwerken van persoonsgegevens.