Volg Software Zaken

Voorbeelden van verwerkingsactiviteiten

| Sieuwert van Otterloo | Privacy

Bijna elke organisatie in Nederland moet een register van verwerkingsactiviteiten bijhouden. Hierin moeten alle verwerkingsactiviteiten staan vermeld. Om te helpen bij het opstellen of aanvullen van dit register, geven we in dit artikel een aantal voorbeelden van verwerkingsactiviteiten. Ook leggen we uit wanneer u zelf de verwerkingsverantwoordelijke bent en wanneer u de verwerker bent. 

De definitie van een verwerkingsactiviteit

In de AVG staat verwerken gedefinieerd als ” een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens” . Dit komt neer op alle acties die met of op persoonsgegevens uitgevoerd worden.

In artikel 30 van de AVG staat gedefinieerd dat verwerkingen in een register moet worden bijgehouden. Dit geldt zowel voor verwerkingen waar u verantwoordelijke bent en verwerkingen waar u verwerker bent. De verplichte informatie is wel verschillend in beide gevallen. Hieronder zijn de begrippen verantwoordelijke en verwerker toegelicht:

Verantwoordelijke

U bent gegevensverantwoordelijke als u het doel en de middelen van de verwerking bepaalt. Dit is eigenlijk al vrij snel, en daarom zijn partijen eerder verantwoordelijke dan gedacht. Soms worden het doel en de middelen samen met een andere partij bepaald, waardoor zij gezamenlijke verantwoordelijken worden.

Verwerker

Verwerkers zijn partijen die in opdracht van een Verantwoordelijke persoonsgegevens verwerken. Zij voeren de verwerking alleen uit en dragen niet de eindverantwoordelijkheid. Wel dienen zij een voldoende niveau van informatiebescherming te hebben, en de afspraken met de Verantwoordelijke vast te leggen in een zogeheten verwerkersovereenkomst.

Voorbeelden eigen verwerkingen

Hier onder hebben wij vier voorbeelden opgesomd van verwerkingsactiviteiten waarbij het bedrijf zelf de verantwoordelijke is.

De salarisadministratie van eigen medewerkers
Om medewerkers hun salaris te betalen, moeten er persoonsgegevens verwerkt worden. De NAW gegevens, het rekeningnummer, en het BSN zijn daar bij nodig. Of het bedrijf de gegevens zelf bij elkaar voegt en de loonstrookjes maakt, of de strookjes laat maken in een systeem, zij zijn verantwoordelijk voor de verwerking.

CV’s en brieven van kandidaten
Als u openstaande vacatures heeft en regelmatig sollicitaties krijgt, dan is het zorgvuldig afhandelen van sollicitaties een verwerkingsactiviteit. U moet er goed op letten dat CV’s zorgvuldig opgeslagen worden en alleen gebruikt worden voor het sollicitatieproces. Denk ook aan een passende bewaartermijn. En Als CV’s na afwijzing worden bewaard, communiceer dit dan duidelijk aan de kandidaat.

Order en factuur-gegevens
U bent als ondernemer verplicht om facturen te bewaren. Als u ook particulieren of kleine ondernemers als klant heeft, dan bevatten de facturen persoonsgegevens.

Gegevens websitebezoekers
Veel bedrijven verzamelen gegevens over bezoekers van de website. Dit gebeurt met cookies of met andere cookie-technieken, en vaak wordt er gebruik gemaakt van google analytics of andere leveranciers. Als u dit doet, moet u dit duidelijk melden in zowel een cookie- als een privacy-statement.

Voorbeelden verwerkingen voor anderen

Of u verwerker bent van persoonsgegevens hangt voornamelijk af van uw klanten en de diensten die u uw klanten aanbiedt. Bij de volgende diensten bent u waarschijnlijk verwerker en de klant verantwoordelijke:

  • Opslag en hostingdiensten. Als u dit aanbiedt en de klant deze gebruikt voor opslag van persoonsgegevens, dan bent u verwerker en moet de klant door middel van een verwerkersovereenkomst met u afspreken dat u passende beveiligingsmaatregelen neemt.
  • Data-analyse en data science. Als uw klant u gegevens stuurt voor analyse zoals log-bestanden, locaties, foto’s of video, dan is de kans groot dat hier persoonsgegevens instaan.

Voor meer artikelen over privacy, kijk dan op onze pagina met alle privacy-artikelen.

Afbeelding credit: @geraldine_lewa via unsplash

 

Author: Sieuwert van Otterloo
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van ISO 27001, NEN 7510, software-kwaliteit, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.