Gelden de strengere privacyregels ook voor mijn bedrijf?

Ondernemers wakker worden! Er komen nieuwe, strengere privacyregels aan. Hoewel in mei van dit jaar alle bedrijven moeten voldoen, lijken veel ondernemers te denken dat het allemaal niet zo'n vaart zal lopen. Advocaat en privacy-specialist Koen Konings legt vandaag uit wanneer de nieuwe regels van toepassing zijn.

Door Koen Konings

De Algemene Verordening Gegevensbescherming (AVG) brengt strengere verplichtingen mee voor bedrijven die werken met persoonsgegevens. De rechten van degenen die staan geregistreerd worden bovendien beter beschermd. Bedrijven die zich niet houden aan de regels kunnen van de toezichthouder – de Autoriteit Persoonsgegevens – een ferme boete krijgen.

Helaas luidt het antwoord meestal dat de regels wél van toepassing zijn
Koen Konings

Voor wie?

Vaak vragen bedrijven zich af of deze nieuwe regelgeving ook voor hen geldt. Een klein bedrijf kan toch immers niet worden opgezadeld met dergelijke zware administratieve lasten? Helaas luidt het antwoord meestal dat de regels wél van toepassing zijn. Ze gelden namelijk zodra persoonsgegevens worden verwerkt.
Maar dat is vrij ruim omschreven. Hieronder leg ik het verder uit.

Wat zijn 'persoonsgegevens'?

De definitie van 'persoonsgegevens' in de Europese Unie is: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dat is de 'betrokkene'. Een natuurlijk persoon is een levend mens en geen rechtspersoon zoals een bv.
'Identificeerbaar' houdt in een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, aan de hand van zijn naam of bijvoorbeeld een identificatienummer.

Er is kortom al snel sprake van 'persoonsgegevens'. Wat de toezichthouders in de handreikingen schrijven en wat rechters tot op heden hierover hebben beslist bevestigen dit.

Wat is 'verwerken'?

Je verwerkt persoonsgegevens wanneer je deze verzamelt, vastlegt, ordent, opslaat, verstrekt etc. Dat is dus al heel snel. In de praktijk vallen alle bewerkingen eronder. Ook het simpelweg registreren of inzien van persoonsgegevens.

In de praktijk is er snel sprake van het verwerken van persoonsgegevens
Koen Konings

Uitzonderingen

In de praktijk is er dus snel sprake van 'het verwerken van persoonsgegevens', omdat zowel het begrip 'verwerken' als 'persoonsgegevens' bijzonder ruim moeten worden opgevat. De regels van de AVG zijn dan automatisch van toepassing.

Er zijn slechts een paar uitzonderingen. Die gelden bijvoorbeeld wanneer de verwerking van persoonsgegevens gebeurt buiten de werkingssfeer van het recht van de Europese Unie, of wanneer het gaat om buitenlands en veiligheidsbeleid van de EU-lidstaten. Wanneer je voor een persoonlijke of huishoudelijke activiteit gegevens verwerkt dan is de wet niet streng. Een lijst van gasten voor een verjaardagsfeestje vastleggen mag dus gewoon. Ook wanneer het gaat om opsporing en vervolging van strafbare feiten, gaat de AVG niet op.

Uw bedrijf zal zich ongetwijfeld niet kunnen beroepen op deze uitzonderingen.

Koen Konings is IT-advocaat bij NORD te Groningen en initiatiefnemer van Privacy-Administratie.nl.

Lees ook eerdere xpertblogs van Koen Konings:

- De nieuwe privacyregels: Wat je als bedrijf allemaal moet doen
- In een paar stappen naar een privacy-administratie
- Nieuwe privacyregels: Ondernemers, wakker worden!

Meer over dit onderwerp:
Ondernemers Xpertblog economie GRONINGEN
Deel dit artikel:

Recent nieuws