Print:

AVG: Hoe herken je bijzondere persoonsgegevens?

Ferry Waterkamp, Journalist

LinkedIn profiel

Onder de Algemene Verordening Gegevensbescherming (AVG) is verwerking van bijzondere persoonsgegevens verboden, tenzij een specifieke uitzondering van toepassing is. “Het probleem is dat we persoonsgegevens vaak niet als zodanig herkennen”, stelt Miranda Top-Sarneel, advocaat-medewerker bij Ploum.

Bijzondere persoonsgegevens zeggen bijvoorbeeld iets over iemands godsdienst of levensovertuiging, ras, politieke voorkeur, gezondheid of seksuele leven. “De grenzen van wat je wel en niet mag doen met die gegevens, veranderen onder de AVG eigenlijk niet”, zegt Top-Sarneel.

Eisen aan verwerking

Verwerking van bijzondere persoonsgegevens blijft onder de AVG verboden. En ook de uitzonderingen op dat verbod kenden we al onder de Wet bescherming persoonsgegevens (Wbp). Zo mag een organisatie nog steeds bijzondere persoonsgegevens verwerken als de betrokkene in vrije wil toestemming heeft gegeven, als verwerking noodzakelijk is om vitale belangen van betrokkenen te beschermen of als de betrokkene de gegevens zelf al openbaar heeft gemaakt. Ook geldt het verbod bijvoorbeeld niet voor de verwerking van medische gegevens door artsen.

“De AVG stelt hogere eisen aan organisaties die bijzondere persoonsgegevens verwerken”, benadrukt Top-Sarneel. Zo geldt bij de verwerking van bijzondere persoonsgegevens de verplichting om een Data Protection Impact Assessment (DPIA) uit te voeren. Organisaties die vanuit een kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken, moeten een functionaris voor de gegevensbescherming (FG) aanstellen. “Ook moet je bij een lek van bijzondere persoonsgegevens altijd de betrokkenen informeren.”

Bijzondere persoonsgegevens herkennen

Bij een datalek moeten organisaties dus het onderscheid kunnen maken tussen ‘normale’ en bijzondere persoonsgegevens. Volgens Top-Sarneel schuilt daarin een uitdaging. “We hebben vaker met bijzondere persoonsgegevens te maken dan we ons realiseren.”

De advocaat van Ploum geeft enkele voorbeelden van bijzondere persoonsgegevens die niet altijd als zodanig worden herkend:

  1. Beeldmateriaal

“Beeldmateriaal met mensen erop bevat altijd bijzondere persoonsgegevens”, legt Top-Sarneel uit. Als voorbeeld geeft ze een ‘smoelenboekfoto’ waarop een keppel of misschien wel een lichamelijke beperking, maar ook altijd het ras van iemand is te zien. “Als werkgever mag je dat beeld eigenlijk niet gebruiken, want de werknemer kan door de afhankelijkheidsrelatie eigenlijk niet in vrije wil toestemming geven voor de verwerking.”

  1. Resultaten van assessments

“Een rapport naar aanleiding van een assessment geeft informatie over iemands persoonlijkheid. Dat hoeft niet per se bijzondere persoonsgegevens te bevatten”, legt Top-Sarneel uit. Dat wordt anders als er in het rapport iets staat over een mogelijke stoornis of over de geestelijke gezondheid. “Dan mag je zo’n rapport niet zonder die in vrije wil gegeven toestemming gebruiken.”

  1. Registraties ziekteverzuim

“Dat iemand afwezig is wegens ziekte, is al een gezondheidsgegeven. Je mag registeren dat iemand ziek is en hoelang, maar niet meer dan dat.” Bijvoorbeeld het registreren van de achtergrond van een ziekte is een verwerking die ook onder de AVG onder het verwerkingsverbod valt.

Boerenverstand

Als andere voorbeelden van bijzondere persoonsgegevens geeft Top-Sarneel het burgerservicenummer en de genderaanduiding van de partner van de werknemer. “Dat zegt iets over seksuele voorkeur, waarbij werkgevers zich af moeten vragen of het nodig is om dat gegeven te verwerken.”

“Als het om een ‘gevoelig gegeven’ gaat, dan is voorzichtigheid op zijn plaats”, zo geeft de advocaat als algemene leidraad. “Of een gegeven ‘privacygevoelig’ is, is overigens heel subjectief. Dat is het leuke en tegelijkertijd ook het lastige van het privacyrecht. Om een goede afweging te kunnen maken tussen normale en bijzondere persoonsgegevens is boerenverstand nodig.”

Op zoek naar een AVG training?

Laat uw e-mail achter en ontvang de gids direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten