22jan, 18
VANDIJK advocaten - De Algemene Verordening Gegevensbescherming / General Data Protection Regulation (Deel 2) (Mr. Ynke M.M. Ooykaas)

Het jaar 2018 belooft een spannend jaar te worden voor ieder die met data te maken heeft. Bedrijven hebben tot 25 mei 2018 de tijd om aan de Algemene Verordening Gegevensbescherming (hierna AVG, in het Engels General Data Protection Regulation of GDPR) te voldoen.  De AVG is op 24 mei 2016 in werking getreden, maar bedrijven hebben tot 25 mei 2018 de tijd gekregen om aan deze ingrijpende richtlijn te voldoen. In de komende blogs zal aandacht worden besteed aan de verschillende aspecten van de AVG.

In het vorige artikel legden we het doel uit van de AVG: overheden, maar ook ondernemers en burgers bewuster om laten gaan met persoonsgegevens.

AVG deel 2: Voor wie geldt de AVG? En wat zijn persoonsgegevens?

Voor wie geldt de AVG

Omdat bijna iedereen tegenwoordig professioneel met persoonsgegevens te maken krijgt, richt de AVG zich tot een breed publiek. De richtlijn geldt dus niet alleen voor overheden en grote multinationals, maar voor alle ondernemers, dus ook MKB-ers en ZZP-ers!
Iedere onderneming heeft gegevens van personen in geautomatiseerde bestanden, denk bijvoorbeeld aan personeelsgegevens, offertes, facturen, nieuwsbrieven, agendabeheer, klantenbestanden en onderhoudsgegevens. De omvang van de onderneming, het aantal personeelsleden, omzet of aard van de activiteiten, winst of verlies, zijn niet belangrijk.

De vraag is heel simpel: worden binnen uw organisatie persoonsgegevens op de een of andere manier met behulp van een computer (of een soortgelijk middel, al dan niet in bijvoorbeeld de Cloud) verwerkt?  Zo ja, dan is er sprake van een geautomatiseerde verwerking en is dus in principe de AVG van toepassing. De omvang van uw bedrijf kan wel belangrijk zijn om te bepalen wélke eisen van de AVG voor u gelden.

Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle gegevens die binnen redelijke termijn en met redelijke middelen herleidbaar zijn tot een natuurlijk persoon (een mens van vlees en bloed). Het gaat dus niet om gegevens die betrekking hebben op rechtspersonen zoals een BV of een stichting. Bedrijven maar ook verenigingen en stichtingen vallen wél onder de AVG als zij beschikken over geautomatiseerde bestanden (bijvoorbeeld overzicht van leden of donateurs) omdat deze gegevens herleidbaar zijn tot een persoon.

Het gaat dan om persoonsgegevens die herleidbaar zijn tot een persoon, waarbij die persoon ook geïdentificeerd moet kunnen worden. Gegevens waarvan kan worden vastgesteld dat ze horen bij een man van 49 jaar, zijn geen persoonsgegevens omdat ze wel individualiseerbaar zijn, maar de persoon niet te identificeren is. Gegevens aan de hand waarvan kan worden vastgesteld dat ze horen bij een man van 49 jaar, inclusief zijn naam, zijn persoonsgegevens.

Let op: het gaat erom of de gegevens in theorie herleid kunnen worden tot een persoon. Het gaat er niet om of u ze kunt herleiden tot een persoon. Voorbeeld: een kenteken van een auto is een persoonsgegeven omdat kentekengegevens gekoppeld kunnen worden aan een bepaald persoon. Dat u dat niet kunt omdat u geen toegang heeft tot de database van de Rijksdienst van het Wegverkeer is niet relevant. In theorie kan het, dus is er sprake van een persoonsgegeven.

y.ooykaas@vandijkadvocaten.nl

Meer informatie? Neem contact met ons op!