Welke verwerkingen van persoonsgegevens zijn volgens de AVG grootschalig?

30 juni 2017

Met de komst van de Algemene verordening gegevensbescherming (AVG) zijn sommige organisaties verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen en een privacy impact assessment (PIA) uit te voeren.

Dat is onder meer het geval als er sprake is van een grootschalige verwerking van persoonsgegevens die een kernactiviteit van de organisatie is. Maar wat wordt er dan precies verstaan onder ‘grootschalig’? Die vraag krijgt de Autoriteit Persoonsgegevens (AP) regelmatig.

In de AVG staat niet precies uitgelegd wat ‘grootschalig’ inhoudt. Wel geven de Europese toezichthouders een aantal voorbeelden van verwerkingen die zij als grootschalig zien.

Bijvoorbeeld een ziekenhuis dat patiëntgegevens verwerkt of een bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.

Verwerking van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’), zien de AP en de andere Europese privacytoezichthouders niet als een grootschalige verwerking.