De beveiliging van persoonsgegevens (O&R nr. 135) 2022/2.2.2.3:2.2.2.3 ‘Verwerkingen’

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/2.2.2.3

2.2.2.3 ‘Verwerkingen’

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS660903:1
Vakgebied(en): Privacy (V)

Art. 2 AVG bepaalt dat de AVG van toepassing is op verwerkingen van persoonsgegevens. Een persoonsgegevensverwerking is een “bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”.1 Deze lijst is niet uitputtend (‘zoals’). In de literatuur wordt vaak aangenomen dat alles wat met persoonsgegevens kan worden gedaan, waaronder ook een enkele raadpleging,2 als een verwerking geldt.3 Hoewel het HvJ EU dit nooit heeft bevestigd, heeft het ook geen nadere eisen aan het begrip ‘verwerking’ gesteld of geoordeeld dat een bepaalde handeling geen verwerking is.4 Iedere handeling die met persoonsgegevens wordt verricht, moet waarschijnlijk dan ook met beveiligingsmaatregelen worden omkleed.

Art. 2 AVG lijkt te bepalen dat de AVG niet zozeer betrekking heeft op persoonsgegevens, maar op verwerkingen daarvan. De vraag die daardoor rijst, is of er ten aanzien van gegevens die in het verleden ergens zijn opgeslagen, maar waarmee op het moment geen verdere handelingen worden verricht, nog sprake is van een ‘bewerking’ in de zin van deze bepaling. Als dat niet het geval is, valt het opslaan van gegevens (de handeling) wel onder de AVG, maar de opgeslagen gegevens (waarmee verder niets meer gebeurt) niet. Dit zou aanzienlijke gevolgen hebben voor de verplichtingen uit art. 5 lid 1 onder f en 32 AVG. Gezien de onbegrensde wijze waarop het begrip ‘verwerking’ is gedefinieerd, en de neiging van het HvJ EU om de reikwijdte van de AVG omwille van de waarborging van de bescherming van betrokkenen ruim uit te leggen,5 is het echter aannemelijk dat ‘verwerking’ zo zal worden uitgelegd dat ook ‘gegevens in rust’ onder de AVG vallen. Hiertoe kan de opslag van gegevens bijvoorbeeld als een voortdurende verwerking worden beschouwd. Voor de beveiliging van persoonsgegevens betekent dit dat ook persoonsgegevens die simpelweg ergens zijn opgeslagen, maar waarmee geen andere specifieke handeling worden verricht, moeten worden beveiligd.6

Een verwerking (processing) bestaat uit een of meer bewerkingen (operations).7 Deze bewerkingen kunnen plaatsvinden tijdens verschillende fasen van de verwerking.8 Doorgaans maken de rechtspraak en de literatuur geen duidelijk onderscheid tussen bewerkingen en verwerkingen. Doordat een verwerking ook uit een enkele bewerking kan bestaan, is dit ook lastig. Zo kan het opslaan van gegevens een verwerking zijn, maar ook een bewerking wanneer dit gebeurt ter aanlegging van een database. Dat het moeilijk is om een onderscheid aan te brengen tussen verwerkingen en bewerkingen is geen probleem, omdat dit onderscheid juridisch niet van belang lijkt: het HvJ EU is hier tot op heden dan ook alleen op ingegaan in Fashion ID, bij de uitleg van het begrip ‘gezamenlijke verantwoordelijkheid’ (zie §2.2.3.2).9

De AVG betreft verwerkingen die geheel of gedeeltelijk geautomatiseerd worden verricht en verwerkingen van persoonsgegevens die in een bestand zijn opgenomen of zijn bestemd om hierin te worden opgenomen.10 Zij maakt dus onderscheid tussen (geheel of gedeeltelijk) geautomatiseerde verwerkingen aan de ene kant en handmatige verwerkingen aan de andere kant. Iedere verwerking van persoonsgegevens met een geautomatiseerde component valt zonder meer onder de AVG. Omdat de AVG technologieneutraal is, is de bij de verwerking gebruikte technologie irrelevant.11 Ook puur handmatige verwerkingen kunnen onder de AVG vallen, mits de persoonsgegevens die bij die verwerkingen zijn betrokken in een bestand zijn opgenomen of bestemd zijn daarin te worden opgenomen. Een ‘bestand’ is een gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn.12 Zo’n bestand moet het mogelijk maken persoonsgegevens gemakkelijk terug te vinden.13 Een voorbeeld van dergelijke bestand is een in een archiefkast geordend dossier.14

Toon alle voetnoten

Voetnoten

Voetnoten

Art. 4 onder 2 AVG.

Zie bijv. AP Last onder dwangsom Coöperatie Menzis 2018, nr. 2.

Zie bijv. Engelfriet, Meij & Kager 2017, p. 22; Zwenne, in: T&C Privacy- en telecommunicatierecht 2018, AVG, art. 4, aant. 2 en Carey 2018, p. 15.

De vraag of een bepaalde activiteit een verwerking is, is nadrukkelijk voorgelegd in HvJ EG 6 november 2003, ECLI:EU:C:2003:596 (Lindqvist), zie i.h.b. pt. 24-27.

Zie hierover §2.2.2.2. en §2.2.2.3.

Dit sluit aan bij de wijze waarop beveiliging door informatiebeveiligingsspecialisten wordt benaderd (zie §3.2.1).

Art. 4 lid 2 AVG.

HvJ EU 29 juli 2019, ECLI:EU:C:2019:629, pt. 72 (Fashion ID).

10.

Art. 2 AVG.

11.

Preambule AVG, o. 15. Zie hierover §2.3.2.

12.

Art. 4 onder 6 AVG.

13.

HvJ EU 10 juli 2018, ECLI:EU:C:2018:551, pt. 52-62 (Jehovan).

14.

Preambule AVG, o. 15. Zie ook Zwenne, in: T&C Privacy- en telecommunicatierecht 2018, AVG, art. 2, aant. 1, die ook ingaat op hoe verschillende verwerkingen van elkaar kunnen worden onderscheiden.