Wat betekent ‘verwerken’ eigenlijk?

Volgens de AVG is het verwerken van persoonsgegevens alles wat je met gegevens doet – van het verzamelen en opslaan tot het delen, aanpassen of verwijderen ervan. En ja, dat gaat veel verder dan je misschien denkt.

Een paar voorbeelden:
📌 Een e-mailadres noteren in een Excelbestand? Verwerking.
📌 Een dossier opslaan in de cloud? Verwerking.
📌 Een foto van een klant gebruiken op social media? Verwerking.

Oftewel: zodra je iets doet met persoonsgegevens, heb je te maken met de AVG.

Mag je dan zomaar gegevens verwerken?

Nee, zeker niet. Elke verwerking van persoonsgegevens moet een duidelijk doel hebben én moet gebaseerd zijn op een van de zes wettelijke grondslagen. Daarnaast mag je alleen die gegevens verzamelen die écht nodig zijn voor dat doel. Verwerk je méér dan nodig? Dan overtreed je de regels.

Zelfs het bewaren van persoonsgegevens is een aparte verwerking die een eigen grondslag vereist. Dus: houd ook goed in de gaten hoe lang je persoonsgegevens bewaart, en waarom.

De zes grondslagen van de AVG

In artikel 6 van de AVG staan zes toegestane redenen (grondslagen) om persoonsgegevens te mogen verwerken. Dit zijn ze:

1. Toestemming
   De betrokkene geeft expliciet toestemming voor het verwerken van zijn of haar gegevens. Dit geldt ook voor gegevens van kinderen onder de 16 jaar – daar is ouderlijke toestemming voor nodig.

2. Uitvoering van een overeenkomst
   Denk aan het verzenden van een bestelling of het uitbetalen van loon. Je hebt gegevens nodig om afspraken uit te voeren.

3. Wettelijke verplichting
   Bijvoorbeeld het bewaren van je administratie voor de Belastingdienst of het opgeven van looninformatie voor loonheffing.

4. Vitale belangen
   In noodsituaties mag je gegevens verwerken om iemands leven of gezondheid te beschermen – bijvoorbeeld in een ziekenhuis.

5. Taak van algemeen belang of openbaar gezag
   De overheid mag persoonsgegevens verwerken bij taken zoals rampenbestrijding of volksgezondheid, mits dit noodzakelijk is.

6. Gerechtvaardigd belang
   Denk aan marketing: bedrijven mogen klanten benaderen als dit in lijn is met eerdere contactmomenten. Maar let op: dit mag alleen als het belang zwaarder weegt dan de privacy van de betrokkene.

Voor bijzondere persoonsgegevens (zoals medische gegevens, religie of seksuele geaardheid) gelden nog strengere regels. Niet elke grondslag is dan toegestaan. Lees hiervoor ook artikel 9 van de AVG

Verwerkingsverantwoordelijke of verwerker – wie ben jij?

De AVG maakt een belangrijk onderscheid tussen twee rollen:

• Verwerkingsverantwoordelijke: degene die het doel en de middelen voor de verwerking bepaalt. Denk aan een ondernemer die klantgegevens gebruikt voor facturatie.

• Verwerker: een partij die namens de verantwoordelijke persoonsgegevens verwerkt, zonder zelf beslissingen te nemen over het ‘waarom’ of ‘hoe’. Denk aan een boekhoudkantoor of IT-dienstverlener.

Je bent dus verwerkingsverantwoordelijke als jij bepaalt waarvoor je gegevens verwerkt en welke gegevens daarvoor nodig zijn. Werk je samen met een externe partij die je helpt bij die verwerking? Dan moet je beoordelen of zij een verwerker zijn, of misschien ook zelfstandig verwerkingsverantwoordelijke.

En let op: tussen een verantwoordelijke en verwerker moet je een verwerkersovereenkomst sluiten. Werk je samen met een andere verantwoordelijke partij? Dan maak je heldere afspraken over wie waarvoor verantwoordelijk is – maar een verwerkersovereenkomst is dan niet nodig.

❗️Het is dus niet de bedoeling om standaard verwerkersovereenkomsten “over de schutting te gooien” naar iedere samenwerkingspartner. Wees kritisch en bepaal eerst welke rol de ander speelt.

Wat kun je verwachten in Deel 3?

In het volgende deel kijken we door de bril van een ondernemer:
🔍 Welke stappen moet je zetten om aan de AVG te voldoen?
📋 Wat zijn je verantwoordelijkheden richting je verwerker(s)?
⚙️ En hoe integreer je privacy in je bedrijfsprocessen?

Over twee weken meer. Wil je zeker weten dat je niets mist? Volg onze blog!