2.2.4 Afrondende opmerkingen: (on)voorzienbaarheid toepasselijkheid

Art. 5 lid 1 onder f en 32 AVG regelen al met al zeer uiteenlopende gevallen. In beginsel moet eenieder die in deze gevallen de rol van verwerkings­verantwoordelijke of verwerker heeft aan de beveiligings­verplichtingen voldoen. Omdat de kwalificatie van verwerkings­verantwoordelijke of verwerker afhangt van de feitelijke omstandigheden en hier geen formele eisen voor bestaan, kan een partij verwerkings­verant­woordelijke of verwerker zijn zonder dat zij zich hiervan bewust is. Dit kan bijvoorbeeld gebeuren als iemand onbewust een nieuwe verwerking begint of niet weet dat zijn handelen persoonsgegevens aangaat. Gezien de ruime definities van de begrippen ‘persoonsgegevens’ en ‘verwerking’, zijn dit geen onrealistische scenario’s. Zo is voor de toepasselijkheid van de AVG op een verwerking niet vereist dat de verwerking informatie betreft die inhoudelijk over een individu gaat en zelf tot deze persoon herleidbaar is, maar kan het ook gaan om gegevens die ‘slechts’ gevolgen hebben voor iemands rechtspositie en alleen met gebruik van aanvullende gegevens tot identificering kunnen leiden – zelfs indien de verwerkende partij zelf geen beschikking over deze aanvullende gegevens heeft. Hierdoor zijn de AVG-beveiligings­bepalingen van toepassing op situaties waarin dat niet of moeilijk voorzienbaar is.