Bijzondere persoonsgegevens: opgelet, deze mogen meestal niet worden verwerkt!

1 maart 2020

Het doel van het privacyrecht, waaronder de AVG (de Algemene Verordening Gegevensbescherming), is het beschermen van persoonsgegevens van natuurlijke personen. Binnen het privacyrecht wordt extra bescherming gecreëerd voor bepaalde soorten persoonsgegevens. Dit geldt bijvoorbeeld voor bijzondere persoonsgegevens. Hierop zijn extra strenge regels van toepassing. Daarom is het goed te weten wat bijzondere persoonsgegevens zijn, vooral omdat dit soms verassingen met zich meebrengt. Verder staan op het niet-naleven van de privacy wet- en regelgeving vaak zware sancties, waaronder hoge boetes. 

Waarom bijzondere persoonsgegevens bijzonder zijn 
Onder de categorie bijzondere persoonsgegevens vallen gegevens die naar hun aard gevoeliger zijn dan de meeste andere persoonsgegevens. Zoals in de inleidende opmerkingen in de AVG is aangegeven (overweging 51), verdienen zij specifieke bescherming omdat de context waarbinnen deze gegevens worden verwerkt, significante risico’s met zich kan meebrengen voor de   grondrechten en de fundamentele vrijheden van de betrokkene (de persoon op wie de persoonsgegevens betrekking hebben).

Wat zijn persoonsgegevens?
In de eerste plaats moet worden vastgesteld of er überhaupt sprake is van persoonsgegevens. De AVG geeft hiervoor de volgende definitie: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. 

Iemand is identificeerbaar wanneer zijn/haar identiteit direct of indirect kan worden vastgesteld. Gegevens die daarbij helpen, heten ‘indicatoren’. Voorbeelden hiervan zijn bijvoorbeeld: namen, identificatienummers, locatiegegevens, online identificators (voorbeeld: IP-adres) en elementen die iemands fysieke, genetische, fysiologische, psychische, economische, culturele of sociale identiteit kenmerken. 

Voor meer informatie over persoonsgegevens wordt verwezen naar het artikel ‘Herken persoonsgegevens en voorkom onnodige risico’s en kosten’.

Wat zijn bijzondere persoonsgegevens?
Bijzondere persoonsgegevens zijn:

  1. persoonsgegevens waaruit iemands ras of etnische afkomst blijkt;
  2. persoonsgegevens waaruit iemands politieke opvattingen blijken;
  3. persoonsgegevens waaruit iemands religieuze of levensbeschouwelijke overtuigingen blijken;
  4. persoonsgegevens waaruit iemands lidmaatschap van een vakbond blijkt;
  5. genetische gegevens;
  6. biometrische gegevens met het oog op de unieke identificatie van een persoon;
  7. gegevens over gezondheid;
  8. gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Let op verborgen bijzondere persoonsgegevens
Van sommige gegevens al snel duidelijk zijn dat ze in één van de hiervoor genoemde categorieën vallen. Denk bijvoorbeeld aan informatie in iemands medisch dossier in een ziekenhuis. Maar dat zal echter lang niet altijd het geval zijn. 


Het komt voor dat bijzondere persoonsgegevens bijna niet als zodanig te herkennen zijn. Soms zullen ze zelfs niet meteen als persoonsgegevens worden ervaren. Vaak gaat het dan om informatie die niet direct naar een bepaalde persoon leidt. Hierbij kan bijvoorbeeld worden gedacht aan een telefoonnummer of betalingstransactie. Daarvoor zijn dan eerst extra (denk)stappen nodig. Of dit soort informatie als bijzondere persoonsgegevens geldt, hangt af van de moeilijkheid en/of kostbaarheid van deze stappen. 

Soms wordt een gegeven pas een (bijzonder) persoonsgegeven door combinatie hiervan met andere informatie. Denk bijvoorbeeld aan een lijst met mailadressen. Mailadressen zijn op zich geen bijzondere persoonsgegevens. Indien echter uit andere informatie blijkt dat het gaat om lijst met mailadressen van mensen die aan een bepaalde ziekte lijden of lid zijn van een bepaalde politieke partij dan ligt dat opeens geheel anders, zeker indien dit niet door de betrokkene openbaar is gemaakt (zie hierna).

Verder zijn er situaties waarin mensen zich er helemaal niet bewust van zijn dat ze te maken kunnen hebben met persoonsgegevens, laat staan met bijzondere persoonsgegevens. De kans hierop is nog groter wanneer je er binnen de algemene context van het dagelijkse leven mee te maken krijgt en je hier dus niet heel specifiek hierop bent gespitst. Denk bijvoorbeeld aan foto’s van een eerste communie, waaruit iemands religie kan blijken. Andere voorbeelden kunnen zijn het dragen van een broek door een vrouw of iemands surfgedrag op internet (bijvoorbeeld in de zoekgeschiedenis van de internetbrowser) waaruit blijkt dat op zondag webwinkels zijn bezocht indien dat in de omgeving van die persoon om godsdienstige redenen niet is toegestaan. Zegt dat iets over de religieuze overtuiging van deze persoon? Dan zijn dit bijzonder persoonsgegevens.

Strafrechtelijke persoonsgegevens

Strafrechtelijke persoonsgegevens zijn geen bijzondere persoonsgegevens onder de AVG. Wel gelden hiervoor specifieke voorschriften. Deze zij echter anders dan die voor bijzondere persoonsgegevens.

Mogen bijzondere persoonsgegevens worden verwerkt?

De hoofdregel is dat bijzondere persoonsgegevens niet mogen worden verwerkt. 

In bepaalde gevallen mogen bijzondere persoonsgegevens wel worden verwerkt. Dan moet aan twee voorwaarden zijn voldaan.

Stap 1

In de eerste plaats moet er sprake zijn van één van de volgende – hier in het zeer kort beschreven – situaties:

  1. de betrokkene heeft uitdrukkelijke toestemming gegeven;
  2. de verwerking is noodzakelijk voor de uitvoering van verplichtingen en uitoefening van specifieke rechten op het gebied van het arbeids-, sociaal zekerheids- en sociale beschermingsrecht én hiervoor een wettelijke grondslag is;
  3. de verwerking noodzakelijk is voor de bescherming van vitale belangen en de betrokkene niet in staat is toestemming te geven;
  4. een instantie zonder winstoogmerk, die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is; verwerkt voor deze gerechtvaardigde activiteiten persoonsgegevens van (oud)leden en personen met wie zij vanwege haar doelen regelmatig contact onderhoud; er passende waarborgen zijn en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt;
  5. de betreffende persoonsgegevens zijn door de betrokkene openbaar gemaakt;
  6. de verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid;
  7. de verwerking is noodzakelijk vanwege een zwaarwegend algemeen belang én er een wettelijke grondslag is;
  8. de verwerking door/onder verantwoordelijkheid van een beroepsbeoefenaar, gebonden aan het beroepsgeheim/verplicht tot geheimhouding, die noodzakelijk is voor preventieve of arbeidsgeneeskundige doeleinden, bijvoorbeeld de beoordeling van arbeidsgeschiktheid, medische diagnoses en/of het verstrekken van gezondheidszorg én er een wettelijke grondslag is;
  9. de verwerking noodzakelijk is vanwege een algemeen volksgezondheidsbelang én er een wettelijke grondslag is;
  10. de verwerking noodzakelijk is voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden én er een wettelijke grondslag is.


Voor de volledige voorwaarden wordt verwezen naar de tekst van de betreffende bepaling in de AVG: artikel 9.

Stap 2

Daarnaast moet een beroep kunnen worden gedaan op één van de in de AVG genoemde zes gronden (redenen) waarop het verwerken van persoonsgegevens is toegestaan. Kort samengevat zijn dit:

  1. toestemming van de betrokkene;
  2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst;
  3. de verwerking is noodzakelijk in verband met een wettelijke verplichting;
  4. de verwerking is noodzakelijk om vitale belangen te beschermen;
  5. de verwerking is noodzakelijk om een taak van algemeen belang of openbaar gezag uit te oefenen;
  6. de verwerking is noodzakelijk om uw gerechtvaardigde belang te behartigen.

Voor een nadere toelichting wordt verwezen naar het artikel ‘Wat zijn toch de verwerkingsgrondslagen in de AVG?’

Goed kwalificeren kan boetes of kosten voorkomen
Worden bijzondere persoonsgegevens niet als zodanig behandeld, dan kan dit tot (zware) boetes en andere sancties en maatregelen leiden.

Worden gegevens ten onrechte als bijzondere persoonsgegevens behandeld? Dan kan dit tot onnodige kosten en belasting leiden. Denk bijvoorbeeld aan een onnodige melding van een informatielek (omdat het geen (bijzondere) persoonsgegevens betreft) of het doen van een gegevensbeschermingseffectbeoordeling terwijl dit niet nodig is.

Advies
Beoordeel steeds kritisch of bepaalde (persoons)gegevens wel/geen bijzondere persoonsgegevens zijn. Laat u daarbij zo nodig bijstaan door een deskundige. Deze is getraind in het herkennen van verbanden die anders gemakkelijker over het hoofd kunnen worden gezien. Verder ziet een derde de onderneming/organisatie met een objectievere blik. 

Twijfelt u en wilt u het zekere voor het onzekere nemen? Behandel gegevens dan als bijzondere persoonsgegevens.

Kiest u er bij twijfel toch voor om informatie niet als bijzondere persoonsgegevens te behandelen? Leg dan in ieder geval uitvoerig schriftelijk vast waarom u dit niet doet. Is de onderneming/organisatie dan gevrijwaard van sancties en maatregelen wanneer het toch persoonsgegevens blijken te zijn? Dat is niet het geval. Het kan echter wel helpen wanneer u kan aantonen dat er heel zorgvuldig is gehandeld.

Heeft u vragen?
Vraagt u zich af of bepaalde gegevens bijzondere persoonsgegevens zijn of dat dit juist niet het geval is? Of wil u weten welke risico’s u en/of de onderneming/organisatie mogelijk loopt/lopen? Wij helpen u graag. Neem dan vrijblijvend contact op met Cathelijne Elassaiss-Schaap via elassaiss@elassaiss.nl of via 0344 – 227 030.

Meer informatie

Wilt u meer lezen over dit onderwerp en zaken die hiermee samenhangen? 

Neem vrijblijvend contact op

0344 – 227 030
info@elassaiss.nl

Neem vrijblijvend contact op

0344 – 227 030
info@elassaiss.nl