Bijzondere persoonsgegevens

De AVG maakt onderscheid tussen gewone en bijzondere persoonsgegevens. Omdat de AVG hogere eisen stelt aan organisaties die bijzondere persoonsgegevens verwerken, is het van belang dat u dat ook kunt doen. Dit blijkt in de praktijk lastig te zijn en daarom zullen wij u hiervoor een aantal handvatten aanreiken.

Persoonsgegeven

Onder persoonsgegeven wordt alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon verstaan. De informatie dient direct of indirect (door middel van herleiding) te kunnen leiden tot identificatie van een natuurlijk persoon.

Hieruit kan worden opgemaakt dat een persoonsgegeven een gegeven over een natuurlijke persoon moet zijn. Daarnaast moet het gaan om gegevens die alleen of in combinatie met andere gegevens, zo kenmerkend zijn voor een specifieke natuurlijke persoon dat deze aan de hand daarvan zonder al te veel moeite kan worden geïdentificeerd. Daarbij gaat het om de mogelijkheid tot identificatie. Het is niet van belang of deze identificatie daadwerkelijk ooit plaats zal vinden.

Er is een verschil tussen direct en indirect identificerende gegevens. Direct identificeerbare gegevens zijn gegevens waarmee de identiteit van een persoon zonder veel omwegen kan worden vastgesteld zoals bijvoorbeeld een naam, adres en telefoonnummer en de combinatie van deze gegevens.

Indirect identificeerbare gegevens zijn gegevens die niet direct naar een persoon herleiden maar die via nadere stappen in verband kunnen worden gebracht met een bepaalde persoon. Er kan dan weer een onderscheid worden gemaakt tussen gegevens met een hoog onderscheidend karakter, zoals leeftijd, woonplaats en beroep, en gegevens met een laag onderscheidend karakter, zoals leeftijdsklasse, woonregio en beroepsklasse. Het onderscheidende vermogen van dergelijke (combinaties van) gegevens is mede afhankelijk van de context waarbinnen ze worden gebruikt.

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens zijn gegevens die zo’n gevoelig karakter hebben dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. De verwerking van bijzondere persoonsgegevens is in beginsel verboden, tenzij daarvoor een uitzondering wordt gemaakt in de AVG. Zo mogen organisaties bijzondere persoonsgegevens verwerken als de betrokkene in vrije wil uitdrukkelijk toestemming heeft gegeven, als de verwerking noodzakelijk is om vitale belangen van betrokkenen te beschermen of als de betrokkene de gegevens zelf al openbaar heeft gemaakt.

Voorbeelden van bijzondere persoonsgegevens zijn gegevens die betrekking hebben op iemands:

  • gezondheid;
  • ras of etnische afkomst;
  • politieke opvatting;
  • religieuze of levensbeschouwelijke overtuigingen;
  • lidmaatschap van een vakbond;
  • seksueel gedrag of seksuele gerichtheid;
  • genetische of biometrische kenmerken die worden gebruikt worden om een persoon te identificeren.

Het BSN valt niet onder de categorie bijzondere persoonsgegevens maar dit betekent niet dat organisaties zonder meer deze mogen verwerken. Er gelden vereisten, die in de wet staan omschreven, waaraan u moet voldoen bij het verwerken hiervan. Zo is een werkgever verplicht om het BSN van werknemers vast te leggen op grond van de Wet op de loonbelasting 1964. Het BSN mag echter niet gebruikt dan wel verwerkt worden als personeelsnummer; daar is geen juridische grondslag voor.

De AVG stelt strenge eisen aan organisaties die bijzondere persoonsgegevens verwerken. Zo kan voor organisaties de verplichting gelden om een Data Protection Impact Assessment uit te voeren. Met een Data Protection Impact Assessment worden de privacy risico’s van de gegevensverwerking en eventuele maatregelen die genomen kunnen worden om die risico’s te minimaliseren, in kaart gebracht. Ook moeten organisaties bij een lek van bijzondere persoonsgegevens altijd de betrokkenen op de hoogte stellen. Daarnaast moeten organisaties die vanuit een kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken, een functionaris voor de gegevensbescherming aanstellen.

 

Weet u niet zeker of u bijzondere persoonsgegevens verwerkt of onder welke voorwaarden u ze mag verwerken? Wilt u weten of u een DPIA moet uitvoeren of die door ons laten uitvoeren? Of wilt u meer weten over de overige aspecten van de AVG? Bel 020-3450152 of mail naar info@thelegalprivacycompany.nl

Privacy proof website, tegenwoordig een must om in business te blijven.

De grens tussen de digitale en de analoge wereld is aan het vervagen. Steeds meer dagelijkse taken worden online uitgevoerd via allerlei platforms, portals en websites. Met- of zonder het te weten, wordt online de meest vertrouwelijke informatie gedeeld. Toch zijn heel veel mensen niet technisch genoeg onderlegd om alle gevaren van het internetgebruik te kunnen vermijden en de informatie die wij delen te minimaliseren. We zijn dus niet in staat om onszelf goed te beschermen. Om ervoor te zorgen dat onze privacy online beschermd wordt, zijn er wetten ingevoerd die dit in het internetverkeer regelen. Ook de veel besproken Algemene verordening gegevensbescherming (AVG) is van invloed op de manier waarop persoonsgegevens door websitehouders verzameld en gebruikt mogen worden. Uit een onderzoek van de Consumentenbond blijkt echter dat 2 van de 3 websites deze nieuwe privacywet overtreden. In deze blog wordt specifiek ingegaan op hoe websitehouders de privacy van websitebezoekers dienen te waarborgen.

 

Verplichtingen voor websitehouders

Websitehouders die persoonsgegevens via hun website (m.b.v. in te vullen webformulieren) verzamelen moeten een wettelijke grondslag hebben om dit te doen. Dat is bijv. het geval als die gegevens nodig zijn ter voorbereiding van een offerte of vanwege een sollicitatie. Dan zijn die gegevens noodzakelijk om de levering van de aangevraagde diensten of producten mogelijk te maken of de arbeidsovereenkomst te kunnen aangaan. Dit betreft de grondslag “noodzakelijk ter uitvoering (of voorbereiding daarvan) van een overeenkomst. Verder is een veel voorkomende grondslag het vragen van toestemming van de betrokkene, van wie persoonsgegevens verzameld worden. Dat wordt gedaan als de andere grondslagen niet voorhanden zijn.

Naast de grondslag dient de betrokkene (in dit geval een websitebezoeker) globaal geïnformeerd te worden over waarom die gegevens worden verzameld, wat is het doeleinde van de verwerking van die persoonsgegevens. Het informeren van betrokkenen doet de websitehouder door middel van de zogenaamde privacyverklaring. Daarbij dienen ook de cookieverklaring en een cookiebanner datzelfde informatiedoel.

 

Meer controle en rechten voor de websitebezoekers.

Sinds de invoering van de AVG hebben de betrokkenen meer controle en rechten die zij moeten kunnen uitoefenen, zoals recht op inzage en recht op vergetelheid en recht om niet onderworpen te worden aan tracking (klikgedrag wordt bijgehouden) en profiling (gedragsvoorspelling). Daarover moeten Websitehouders de bezoekers op de juiste momenten informeren. Websitehouders die zich hier niet aan houden, riskeren hoge boetes opgelegd door de toezichthouder, de AP. Dit is recent bij Theodoor Gilissen Bankiers (TGB) gebleken. 

Wat zijn cookies?

Cookies zijn tekstbestanden die opgeslagen worden na het bezoek op de website. Door middel van cookies zijn de websitehouders bijvoorbeeld in staat om bezoekersaantallen bij te houden of voorkeurstaal te onthouden. Aan de hand daarvan kan een websitebeheerder reclamecampagnes afstellen of de website zo klantenvriendelijk mogelijk maken.

Aangezien het verzamelen van informatie over het bezoekersgedrag inbreuk maakt op de privacy van de bezoekers moeten de websites eerst om toestemming vragen om deze gegevens te mogen verzamelen door de betrokkenen hierover vóóraf informeren.

 

Welke soorten cookies zijn er?

Er bestaan vele verschillende cookies. Deze cookies verzamelen verschillende soorten informatie en kunnen afkomstig zijn uit verschillende bronnen. Zo kunnen cookies onderverdeeld worden in First-party cookiesen Third-party cookiesen worden enerzijds door de websitebeheerder zelf en anderzijds door derden zoals de adverteerders geplaatst. Een andere verdeling kan gemaakt worden volgens de functie van cookies. Zo zijn er cookies die je voorkeurenop de website onthouden zoals de taalkeuze. Dit zijn cookies die noodzakelijk zijn voor de werking en prettige ervaring op de website. Daarom worden deze cookies functionele cookiesgenoemd en kunnen ze zonder voorafgaande toestemming geactiveerd worden. Een andere mogelijke functie van de cookies is het bijhouden van het surfgedrag van een websitebezoeker. Door middel van deze gegevens kan een heel nauwkeurig profiel van de websitebezoeker gecreëerd worden. Deze cookies worden ook wel marketing cookiesgenoemd. Dit is een vergaande inbreuk op de privacy van de gebruikers, dus dient er altijd een voorafgaande toestemming gevraagd te worden.

Voor alle soorten cookies geldt dat de websitebezoeker geïnformeerd dient te worden over de soorten cookies die gebruikt worden en de gegevens die daarmee verzameld worden. Daarnaast dient men de keuze te hebben om cookies uit te zetten.

 

SSL  Certificaat

Onder de AVG zijn websitehouders verder ook verplicht om te zorgen voor een optimale beveiliging van de verzamelde persoonsgegevens. Zij dienen voldoende organisatorische en technische (IT-) maatregelen te treffen om datalekken te voorkomen. Naast de beveiliging achter de schermen, zijn de websitehouders die formulieren of (nieuwsbrief-) aanmeldingen op hun website plaatsen, verplicht om een SSL-certificaat (HTTPS) te verkrijgen. Dit is een protocol die de communicatie tussen een computers (bijvoorbeeld op het internet) codeert en daarmee beveiligt. Men kan de websites die SSL-gecertificeerd zijn herkennen door ‘https’ voorafgaand aan het websiteadres bijv. (https://thelegalprivacycompany.com).

 

E-Privacy Verordening.

Er komen steeds meer regels bij. Inmiddels wordt ook gewerkt aan een nieuwe E-privacy verordening, de Europese wetgeving die gaat over het inzetten van gebruikersdata bij online advertising via o.a. Google, Facebook, Bing, DSP’s, (Web)Analytics en tooling als Data Management Platforms. In grote lijnen betekent dit dat veel meer dan voorheen specifieke toestemming van de eindgebruiker nodig is om te werken met persoonlijke en naar individuele persoon (pseudo anonieme data) herleidbare data.voor de inzet van verschillende marketingkanalen zoals e-mail, cookies en telemarketing. In deze verordening worden de fundamentele rechten en vrijheden van consumenten op het gebied van online privacy gewaarborgd.

De impact van de ePrivacy Verordening zal vooral op de Digital Advertising markt het grootst zijn.

 

Privacy website toets

Het is door alle nieuwe regels en dataverkeer niet simpel meer om als een bedrijf te voldoen aan de privacyregelgeving, ook niet rondom uw website. Bovengenoemde aspecten vormen echter wel een goed begin van een privacy proof website. Uw website is immers uw visitekaartje en een eerste contactmoment met uw toekomstige klanten, werknemers en samenwerkingspartners. Dit kan ook een goede indicatie geven dat u een modern bedrijfsvoering heeft die up-to-date is en de AVG naleeft. Uiteraard moet dit intern dan wel echt kloppen en zullen uw mensen bijv. op de werkvloer veilig moeten omgaan met de persoonsgegevens. Twijfelt u daar nog aan laat dan een AVG audit uitvoeren.

Een privacy proof website is overigens niet alleen een wettelijke verplichting maar ook een aangename dienst richting uw klanten. Daarom heeft The Legal Privacy Company een Website Privacy Screeningontwikkeld. Dit is een dienst waarmee wij uw website controleren op het juiste gebruik van cookies, informatievoorziening rondom de verzameling van persoonsgegevens zoals de privacyverklaring, beveiliging van uw website en veel meer. Wilt u meer informatie krijgen over de Website Privacy Screening of direct een offerte aanvragen? Klik hier, mail naar info@thelegalprivacycompany.comof bel (020) 345 01 52.