Onder de AVG moeten bepaalde organisaties een Functionaris gegevensbescherming (of Data Protection Officer, DPO) aanwijzen die het overzicht behoudt over de compliance-inspanningen en het beschermen van de persoonsgegevens. Een belangrijke factor bij deze beslissing is of de organisatie ‘op grote schaal’ gegevens verwerkt. Omdat de term ‘op grote schaal’ niet expliciet in de regelgeving gedefinieerd wordt, kan dit verwarring opleveren.
In deze blogpost verduidelijken we wat het ‘op grote schaal’ verwerken van gegevens betekent en geven we praktische richtlijnen voor het bepalen of u een DPO nodig hebt. Maar ook als uw organisatie niet wettelijk verplicht is om een Functionaris gegevensbescherming aan te wijzen, kan het aanstellen van een DPO wel de interne processen stroomlijnen en zorgen voor vertrouwen bij klanten en stakeholders door te laten zien dat uw organisatie zich actief inzet voor het beschermen van gegevens.
In deze blogpost bedoelen we met de term ‘AVG’ zowel de Europese AVG (Engels: GDPR) als de GDPR van het Verenigd Koninkrijk. Hoewel deze wetten in essentie hetzelfde beogen, zijn er toch enkele belangrijke verschillen, bijvoorbeeld wat betreft gegevensoverdracht . We raden aan om een professional op het gebied van gegevensbescherming te raadplegen om correcte naleving te garanderen.
Wanneer is een Functionaris gegevensbescherming wettelijk vereist?
Volgens Artikel 37 van de AVG zijn organisaties verplicht om een Functionaris gegevensbescherming of DPO aan te wijzen als:
- Ze een publiek orgaan of publieke autoriteit zijn (met uitzondering van rechtbanken die in hun juridische hoedanigheid optreden)
- De belangrijkste verwerkingsactiviteiten bestaan uit een regelmatige en systematische monitoring op grote schaal van betrokken personen
- Ze op grote schaal specifieke soorten gegevens verwerken
Een organisatie kan een medewerker aanwijzen als DPO of ervoor kiezen deze taak uit te besteden aan een externe partij. Lees Hiring a Data Protection Officer – internal vs outsourced voor meer informatie.
Een enkele DPO kan een groep bedrijven, verschillende publieke autoriteiten en verenigingen vertegenwoordigen.
Deze criteria zorgen ervoor dat de organisaties die te maken hebben met een complexe gegevensverwerking of het verwerken van gegevens met een hoog risico, beschikken over een onafhankelijke professional die verantwoordelijk is voor de naleving van de gegevensbeschermingswetgeving.
Wat telt als ‘op grote schaal’ verwerken?
Hoewel in de AVG niet expliciet vermeld wordt wat beschouwd wordt als verwerking ‘op grote schaal’, bieden individuele wetgevers wel specifieke richtlijnen.
De wetgevende instantie in het VK,, het Information Commissioner’s Office (ICO), stelt voor dat organisaties rekening houden met de volgende factoren:
- Aantal betrokkenen: Het verwerken van de gegevens van een significant aantal individuen
- Gegevensvolume: Het verwerken van omvangrijke hoeveelheden persoonsgegevens
- Reikwijdte van de gegevens: Het verwerken van verschillende soorten gegevens
- Duur en frequentie: Betrokken zijn bij voortdurende of frequente gegevensverwerkingsactiviteiten
- Geografische reikwijdte: Actief zijn in meerdere regio’s of landen
Het is belangrijk om te weten dat u niet aan alle bovengenoemde factoren hoeft te voldoen om gezien te worden als verwerker op grote schaal; een combinatie van een paar van deze factoren kan voldoende zijn. De specifieke omstandigheden van het verwerken van de gegevens bepaalt of het wordt gezien als ‘op grote schaal’, en het raadplegen van een professional op het gebied van de gegevensbescherming is aan te raden om ervoor te zorgen dat u de regels juist naleeft.

Voorbeelden van verwerken op ‘grote schaal’
Hieronder staan een paar sectorspecifieke voorbeelden van verwerking op grote schaal.
- Healthcare: Een ziekenhuis verwerkt verschillende soorten gegevens van duizenden patiënten, zoals de medische gegevens van patiënten, verzekeringsinformatie en afspraakgeschiedenis.
- Financiële sector: Een bank verwerkt de financiële transacties en rekeninginformatie van miljoenen klanten.
- Technologiesector: Een aanbieder van cloudopslag verwerkt en bewaart grote hoeveelheden bestanden, foto’s en gebruikersinformatie van personen uit meerdere landen.
- Retail: Een keten kledingwinkels verwerkt de aankoopgeschiedenis, de betaalgegevens en de verzendgegevens van miljoenen klanten.
- Education: Een universiteit verwerkt veel verschillende gegevens, waaronder de aanmeldingen van studenten en de academische gegevens, financiële gegevens en gezondheidsinformatie van duizenden studenten.
- Liefdadigheidsinstelling: Verzamelt en verwerkt uitgebreide gegevens, zoals de bedragen die geschonken worden, contactgegevens van donateurs en gegevens van de begunstigde organisaties.
Samenvatting
Goed begrijpen of uw organisatie doet aan verwerking op grote schaal is van cruciaal belang voor het bepalen of een Functionaris gegevensbescherming (Data Protection Officer of DPO) nodig is. Onder de AVG zijn publieke autoriteiten, organisaties die systematisch en op grote schaal individuen monitoren, of organisaties die grote hoeveelheden gevoelige gegevens verwerken verplicht om een DPO aan te stellen. Door te denken aan factoren als het aantal betrokkenen, gegevensvolume, de frequentie van het verwerken en de geografische reikwijdte, kunt u goed beoordelen wat uw verplichtingen zijn en zorgen voor een juiste naleving.
Ook als uw organisatie niet wettelijk verplicht is om een DPO aan te stellen, kan het uw kader voor het beveiligen van uw zakelijke gegevens wel versterken. Ook geeft het blijk van een proactieve houding ten opzichte van de vereiste compliance.
Misschien gemist…
- Due diligence van de bank: checklist gegevensbescherming voor dienstverleners
- Inzet van Live Facial Recognition en naleving van de gegevensbescherming
- De toepassing van de AVG op oude gegevens
Volg The DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming