Persoonsgegevens verwerken: wat is rol van IT bij AVG?

Definitie persoonsgegevens

De definitie van persoonsgegeven is uitgeschreven in artikel 4 onder 1 van de Algemene Verordening Gegevensbescherming (AVG). Daar staat: elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon die zonder de nodige inspanning kan worden vastgesteld (dus zonder dat het veel moeite kost). Voorbeelden van persoonsgegevens zijn:

• Naam
• Adres
• Woonplaats
• Telefoonnummer
• IP-adres
• Handelsnaam (eenmanszaken en maatschappen)
• Combinatie van gegevens, zoals bijvoorbeeld postcode, leeftijd 20 jaar en autobezit die kan leiden tot het identificeren van een persoon
• Internetbrowser en apparaat type

Wanneer is er sprake van persoonsgegevens verwerken?

Het verwerken van persoonsgegevens omvat elke handeling met betrekking tot persoonsgegevens. Voorbeelden hier van zijn het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van persoonsgegevens. De AVG ziet op zowel analoge als geautomatiseerde verwerkingsprocessen toe.

Verwerker van persoonsgegevens

Ben jij (of je bedrijf of organisatie) degene die bepaalde verwerkingen van persoonsgegevens doet? Heb je daarbij ook het doel en de middelen daarvan bepaald? Dan heb je vergaande verplichtingen om dit op een rechtmatige, veilige en transparante manier te doen. Het kan ook zijn dat je degene bent die in opdracht van iemand persoonsgegevens verwerkt.

De rol van IT in de AVG

Uit de AVG volgen rechten en verplichtingen. Het voldoen aan de AVG is een organisatie-brede verantwoordelijkheid. Niet uitsluitend een IT-aangelegenheid. Zeker maakt de IT onderdeel uit van het gehele proces. Hoe dan? De IT-afdeling / IT-dienstverlener heeft het meeste zicht op hoe persoonsgegevens worden verwerkt. Dat kan bijvoorbeeld zijn in de software. Het kan ook bij het maken van back-ups. Daarnaast is het essentieel dat alle mogelijke maatregelen zijn getroffen in het kader van beveiliging. Het doel hierbij is om datalekken te voorkomen in zowel de software als de hardware. Tot slot moeten de systemen standaard zo privacy-vriendelijk mogelijk zijn ingesteld (privacy by default). Daarmee moet vanaf het begin af aan bij het ontwerp van het systeem rekening mee worden gehouden (privacy by design). 

Verwerkersovereenkomst

Het kan dus zijn dat je persoonsgegevens laat verwerken. Of dat jij juist degene bent die in opdracht van een ander persoonsgegevens verwerkt. Dit moet altijd gebeuren met schriftelijke afspraken, een verwerkersovereenkomst. De AVG bepaalt in grote lijnen de inhoud van die afspraken. De concrete invulling wordt door de verwerkingsverantwoordelijke en de verwerker bepaald. Dat kan dan gaan om bijvoorbeeld welke gegevens verwerkt worden en welke beveiligingsmaatregelen getroffen moeten worden.

Een paar elementen die in een verwerkersovereenkomst staan zijn:

• Welke (soorten) persoonsgegevens verwerkt worden;
• Welke (sub-)verwerkers ingeschakeld mogen worden;
• Hoe er geïnformeerd wordt over datalekken;
• Wat ieders verantwoordelijkheid is met betrekking tot de persoonsgegevens en de betrokkenen.

Heb je hulp nodig bij deze vragen of het opstellen van verwerkersovereenkomsten, laat het ons dan weten!

Jan Pieter Schuitema en Wanda Koning, De IT-Jurist B.V.