Wat valt volgens de AVG onder grootschalige verwerking van persoonsgegevens?
In de Algemene verordening gegevensbescherming (AVG) staat de term ‘grootschalig’ niet precies gedefinieerd. Wel zijn er een aantal criteria waar je op kan letten om te bepalen of jouw organisatie op grote schaal gegevens verwerkt:
- het aantal mensen van wie je organisatie gegevens verwerkt;
- de hoeveelheid gegevens die je organisatie verwerkt;
- de duur van de gegevensverwerking;
- de geografische reikwijdte van de verwerking.
Voorbeelden van organisaties die op grote schaal gegevens verwerken zijn arbodiensten, verzekeringsmaatschappijen, ziekenhuizen en internetproviders.
FG en DPIA
Als je organisatie op grote schaal gegevens verwerkt, is de bestuurder volgens de AVG verplicht om een functionaris voor de gegevensbescherming (FG) te benoemen en een data protection impact assessment (DPIA) uit te voeren.
Bijzondere persoonsgegevens
Daarnaast is een FG benoemen en een DPIA uitvoeren verplicht als je organisatie bijzondere persoonsgegevens verwerkt. Dit zijn bijvoorbeeld gegevens die iets zeggen over de gezondheid van personen.