Bijzondere persoonsgegevens – wat en hoe

door | 9 oktober 2018

PersoonsgegevensBijzondere persoonsgegevens – wat en hoe

De AVG is al een aantal maanden van kracht. Zoals je weet draait de AVG om het beschermen van persoonsgegevens. De wet maakt onderscheid tussen bijzondere persoonsgegevens en ‘gewone’ persoonsgegevens. Wat zijn bijzondere persoonsgegevens en waar moet je op letten als je deze gegevens verwerkt? Je leest het hier.

Wat zijn persoonsgegevens?

Een persoonsgegeven is informatie die of direct over een persoon gaat, of informatie die naar een persoon te herleiden is. Er zijn natuurlijk heel veel soorten persoonsgegevens. De meest voor de hand liggende zijn iemands naam, adres, woonplaats, telefoonnummer, geboortedatum, geboorteplaats en e-mailadres. Maar ook een kenteken, IP-adres, BSN-nummer of IBAN bankrekeningnummer zijn voorbeelden van persoonsgegevens.

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens zijn gegevens van een gevoelige aard, zoals iemands ras, godsdienst of gezondheid. Deze gegevens worden door de wet extra beschermd; een organisatie mag namelijk geen bijzondere persoonsgegevens verwerken, tenzij daarvoor in de wet een uitzondering is.

Onder de AVG zijn de volgende gegevens bijzondere persoonsgegevens:

* Ras of etnische afkomst;

* Politieke opvattingen;

* Religie of overtuiging;

* Lidmaatschap vakvereniging;

* Gezondheid, genetische gegevens en biometrische gegevens met het oog op de unieke identificatie van een persoon;

* Seksueel gedrag en seksuele voorkeur;

* Strafrechtelijke veroordelingen en daarmee verband houdende veiligheidsmaatregelen.

Mag ik bijzondere persoonsgegevens verwerken?

Het verwerken van bijzondere persoonsgegevens is in beginsel niet toegestaan. In de volgende situaties is het wel toegestaan:

* de betrokkene (degene waarvan je de gegevens verwerkt) heeft hiervoor uitdrukkelijke toestemming gegeven;

* de betrokkene heeft de persoonsgegevens kennelijk zelf openbaar gemaakt;

* het verwerken van de gegevens is noodzakelijk voor de beoordeling van de arbeidsgeschiktheid van de werknemer;

* het verwerken van de gegevens is noodzakelijk om verplichtingen en rechten uit te oefenen op het gebied van het arbeidsrecht.

Naast de bovenstaande uitzonderingen zijn er nog enkele meer toegespitst op stichtingen en de overheid.

Wat moet ik doen?

In principe mag je dus geen bijzondere persoonsgegevens verwerken. Kun je gebruik maken van één van de uitzonderingen, dan moet je een register bijhouden waarin je bijhoudt welke persoonsgegevens je verwerkt. En als je op grote schaal, het moet gaan om een kernactiviteit van je bedrijf, bijzondere persoonsgegevens verwerkt, dan moet je een zogenaamde data protection impact assessment (DPIA) uitvoeren. Hiervoor ga je kijken wat de privacyrisico’s zijn van het verwerken van de gegevens en welke maatregelen je moet nemen om de risico’s te verkleinen.

Aandachtspunten

1. Ga na of je bijzondere persoonsgegevens verwerkt. En of je mogelijk onder een uitzondering toch de persoonsgegevens mag verwerken.

2. Kijk ook eens of je de bijzondere persoonsgegevens wel echt nodig hebt, de gegevens zijn niet zomaar als extra gevoelig aangemerkt. En het scheelt je ook veel gedoe.

3. Wil je toch de bijzondere persoonsgegevens verwerken en vraag je om toestemming bij je klant of medewerker? Zorg dan voor toestemming op de juiste wijze en denk na over wat je doet met de gegevens als de klant of medewerker de toestemming intrekt!

 

Wil je meer weten over de dienstverlening van Privacy Zeker? Kijk dan hier.