Zodra een organisatie persoonsgegevens verwerkt, is de GDPR-regelgeving van toepassing en moet u een GDPR-dossier aanmaken. Groot of klein, commercieel of niet, het maakt niet uit. Er is geen enkele reden om aan uw verantwoordingsplicht te ontsnappen.
Of de verwerkte gegevens ‘gevoelig’ zijn hangt af van de impact die het gebruik (= de verwerking) van die gegevens heeft op de rechten van de betrokken personen. Als die rechten op een of andere manier kunnen geschaad worden dan zijn die gegevens ‘gevoelig’.