Basisbegrippen

AVG is van toepassing indien uw KMO persoonsgegevens verwerkt.

Persoonsgegevens
 
Dit zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4.1 AVG). 

Gegevens die toelaten om een natuurlijke persoon rechtstreeks of onrechtstreeks te identificeren vallen hier ook onder.  Als het koppelen van puzzelstukjes van informatie (leeftijd, geslacht, postcode, etc.) kan leiden tot de unieke identificatie van een persoon (= singling out), is elk puzzelstukje eveneens een persoonsgegeven. Gepseudonimiseerde persoonsgegevens (waarvoor een sleutel bestaat om de oorspronkelijke persoonsgegevens opnieuw te verkrijgen) zijn ook persoonsgegevens!
Anonieme gegevens en gegevens over overleden personen of rechtspersonen zijn geen persoonsgegevens.
 
Wat zijn wèl persoonsgegevens: 

  • naam, voornaam en contactgegevens van prospects, klanten, leveranciers en personeelsleden;
  • historiek van aankopen, openstaande facturen, betalingsinformatie (van natuurlijke personen);
  • de personeelsevaluaties (functionering/beoordeling) en ziektebriefjes;
  • informatie over de webpagina’s die een bepaald IP-adres bezoekt;
  • geo-locatiegegevens (bv. lokalisatie via een Smart Phone app);
  • lijst van personeelsleden (of de nrs.) die deeltijds werken;
  • camerabeelden, foto’s, nummerplaten, identificaties;
Wat zijn géén persoonsgegevens: 
  • het algemeen e-mailadres of algemeen telefoonnummer van een KMO
  • het ondernemingsnummer (behalve bij een éénmanszaak).

Gevoelige gegevens
 
Dit zijn alle persoonsgegevens die een hoger beschermingsniveau verdienen omdat hun verwerking belangrijke risico’s met zich kan meebrengen.

De verwerking van gevoelige gegevens is in beginsel verboden, tenzij u aan één van de uitzonderingsgronden van artikel 9 of 10 van de AVG voldoet. Ook gewone persoonsgegevens waaruit u gevoelige informatie kan afleiden zijn gevoelige gegevens. Het gaat dan om:

  • bijzondere categorieën van persoonsgegevens (artikel 9 AVG): tot deze groep behoren gezondheids-gegevens, genetische gegevens en biometrische gegevens met het oog op de unieke identificatie van een persoon. Persoonsgegevens waaruit ras of etnische afkomst, seksuele gerichtheid, gedrag, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken behoren ook tot deze bijzondere categorie;
  • uittreksel of gegevens over strafrechtelijke veroordelingen en strafbare feiten (art. 10).  

Gegevensverwerking
 
Dit is een zeer ruim begrip en omvat iedere bewerking van persoonsgegevens al dan niet uitgevoerd via geautomatiseerde procedés (artikel 4.2 AVG).

Voorbeelden van verwerking zijn het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

  • Hoewel de AVG in de eerste plaats geautomatiseerde verwerkingen van persoonsgegevens beoogt (zoals bijv. de opslag op een digitale drager), kan u de wet niet omzeilen door alle persoonsgegevens op papieren dragers te bewaren. Het bijhouden van systematisch geordende bestanden op papier is ook een verwerking in de zin van de AVG.
voorbeelden:
  • het verzamelen van klantengegevens via een webpagina om online aankoop te verrichten;
  • het bijhouden van systematisch geordende papieren fiches met klantengegevens;
  • het digitaal opslaan, raadplegen en beheren van HR-gegevens van uw personeel.

De actoren
 
Zij bepalen waarop de AVG van toepassing is, is belangrijk. De instantie die het doel en de middelen voor de verwerking bepaalt, is de “verwerkingsverantwoordelijke”.

De onderneming die in dienst van een verwerkingsverantwoordelijke persoonsgegevens verwerkt, noemen we de “verwerker”.  Identificeerbare of geïdentificeerde personen van wie persoonsgegevens worden verwerkt, zoals klanten of personeel, worden “betrokkene” genoemd. Overleden personen of rechtspersonen worden niet als “betrokkenen” beschouwd.
Een KMO is verwerkingsverantwoordelijke van zijn klanten- en personeelsgegevens; een sociaal secretariaat dat HR-gegevens verwerkt voor andere bedrijven is vaak verwerker; cloud providers waarop een KMO beroep doen om gegevens op te slaan, zijn verwerkers.