Moet ik een privacyverklaring hebben? (deel 1)

30 april 2019

Dit is een vraag die ik vaak krijg. Logisch, want de boetes zijn niet mild. Om hier een antwoord op te geven moet een vijftal vragen beantwoord worden. Hieronder ga ik jullie op weg helpen!

Eerst de volgende 3 vragen

Allereerst moet je kijken of de regels op jou van toepassing zijn (of jij je eraan moet houden). Hier kom je achter door de volgende 3 vragen:

  1. Verwerk ik gegevens?
  2. Zijn deze gegevens persoonsgegevens?
  3. Verwerk ik deze gegevens geheel of gedeeltelijk automatisch, of zijn ze opgenomen in een bestand, of bestemd om opgenomen te worden in een bestand?

Als je de eerste 3 vragen kunt beantwoorden met “ja”, kun je door naar vraag 4 en 5. Maar eerst wat extra uitleg. 

Wat is ‘verwerken’?

Een verwerking van gegevens is erg breed. Een paar voorbeelden zijn:

  • Verzamelen
  • Opslaan
  • Wijzigen 
  • Gebruiken 
  • Wissen
  • Vernietigen 

Opslaan is iets wat je al snel doet, bijvoorbeeld een telefoonnummer of e-mailadres om contact te kunnen hebben. Uiteindelijk wis je de gegevens natuurlijk ook. 

Wat zijn persoonsgegevens?

De volgende vraag is: zijn deze gegevens persoonsgegevens? Het gaat dus alleen om persoonsgegevens. Persoonsgegevens zijn gegevens die:

  • Over een persoon gaan; ze moeten dus iets zeggen over een persoon, bijvoorbeeld een naam. 
  • Identificeerbaar zijn; de persoon kun je onderscheiden van anderen met die gegevens. Voorbeelden zijn: naam, adres en geboortedatum. Daarnaast kan het ook gaan om een link die je kunt leggen met bepaalde gegevens. Je kunt bijvoorbeeld googelen op een telefoonnummer en daaraan kan een persoon gekoppeld worden. 
  • Over een natuurlijk persoon gaan; gegevens van organisaties vallen hier dus buiten. Let wel, een eenmanszaak is van 1 persoon en daardoor valt het dus te herleiden naar een natuurlijk persoon. Ook wanneer je gegevens verwerkt van medewerkers binnen een bedrijf is er ook een verwerking van persoonsgegevens. 

Verwerk ik deze gegevens geheel of gedeeltelijk automatisch, of zijn ze opgenomen in een bestand, of bestemd om opgenomen te worden in een bestand?

Je verwerking is geautomatiseerd wanneer je hulp hebt van computers, tablets, servers, et cetera. Dit is dus al snel het geval. 

Persoonsgegevens die in bestanden staan gebeurt ook al snel. Bijvoorbeeld aantekeningen maken van een gesprek tijdens een coaching waarbij de naam van de klant op het formulier staat. Daarnaast is het ook verslaglegging over de voortgang. Op het moment dat jij een factuur schrijft staan hier ook persoonsgegevens op. Dit bestand bewaar jij ook, aangezien je dat verplicht bent om te doen. 

Losse krabbels zijn geen persoonsgegevens, zolang maar niet duidelijk is over wie het gaat. 

De laatste 2 vragen zijn:

  • Valt mijn verwerking binnen het toepassingsbereik van de Verordening (de AVG)?
  • Ben ik verwerkingsverantwoordelijke, of ben ik een verwerker?

Deze vragen kijken de volgende keer wat extra uitleg.