Bijzondere persoonsgegevens

De AVG maakt onderscheid tussen gewone en bijzondere persoonsgegevens. Omdat de AVG hogere eisen stelt aan organisaties die bijzondere persoonsgegevens verwerken, is het van belang dat u dat ook kunt doen. Dit blijkt in de praktijk lastig te zijn en daarom zullen wij u hiervoor een aantal handvatten aanreiken.

Persoonsgegeven

Onder persoonsgegeven wordt alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon verstaan. De informatie dient direct of indirect (door middel van herleiding) te kunnen leiden tot identificatie van een natuurlijk persoon.

Hieruit kan worden opgemaakt dat een persoonsgegeven een gegeven over een natuurlijke persoon moet zijn. Daarnaast moet het gaan om gegevens die alleen of in combinatie met andere gegevens, zo kenmerkend zijn voor een specifieke natuurlijke persoon dat deze aan de hand daarvan zonder al te veel moeite kan worden geïdentificeerd. Daarbij gaat het om de mogelijkheid tot identificatie. Het is niet van belang of deze identificatie daadwerkelijk ooit plaats zal vinden.

Er is een verschil tussen direct en indirect identificerende gegevens. Direct identificeerbare gegevens zijn gegevens waarmee de identiteit van een persoon zonder veel omwegen kan worden vastgesteld zoals bijvoorbeeld een naam, adres en telefoonnummer en de combinatie van deze gegevens.

Indirect identificeerbare gegevens zijn gegevens die niet direct naar een persoon herleiden maar die via nadere stappen in verband kunnen worden gebracht met een bepaalde persoon. Er kan dan weer een onderscheid worden gemaakt tussen gegevens met een hoog onderscheidend karakter, zoals leeftijd, woonplaats en beroep, en gegevens met een laag onderscheidend karakter, zoals leeftijdsklasse, woonregio en beroepsklasse. Het onderscheidende vermogen van dergelijke (combinaties van) gegevens is mede afhankelijk van de context waarbinnen ze worden gebruikt.

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens zijn gegevens die zo’n gevoelig karakter hebben dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. De verwerking van bijzondere persoonsgegevens is in beginsel verboden, tenzij daarvoor een uitzondering wordt gemaakt in de AVG. Zo mogen organisaties bijzondere persoonsgegevens verwerken als de betrokkene in vrije wil uitdrukkelijk toestemming heeft gegeven, als de verwerking noodzakelijk is om vitale belangen van betrokkenen te beschermen of als de betrokkene de gegevens zelf al openbaar heeft gemaakt.

Voorbeelden van bijzondere persoonsgegevens zijn gegevens die betrekking hebben op iemands:

  • gezondheid;
  • ras of etnische afkomst;
  • politieke opvatting;
  • religieuze of levensbeschouwelijke overtuigingen;
  • lidmaatschap van een vakbond;
  • seksueel gedrag of seksuele gerichtheid;
  • genetische of biometrische kenmerken die worden gebruikt worden om een persoon te identificeren.

Het BSN valt niet onder de categorie bijzondere persoonsgegevens maar dit betekent niet dat organisaties zonder meer deze mogen verwerken. Er gelden vereisten, die in de wet staan omschreven, waaraan u moet voldoen bij het verwerken hiervan. Zo is een werkgever verplicht om het BSN van werknemers vast te leggen op grond van de Wet op de loonbelasting 1964. Het BSN mag echter niet gebruikt dan wel verwerkt worden als personeelsnummer; daar is geen juridische grondslag voor.

De AVG stelt strenge eisen aan organisaties die bijzondere persoonsgegevens verwerken. Zo kan voor organisaties de verplichting gelden om een Data Protection Impact Assessment uit te voeren. Met een Data Protection Impact Assessment worden de privacy risico’s van de gegevensverwerking en eventuele maatregelen die genomen kunnen worden om die risico’s te minimaliseren, in kaart gebracht. Ook moeten organisaties bij een lek van bijzondere persoonsgegevens altijd de betrokkenen op de hoogte stellen. Daarnaast moeten organisaties die vanuit een kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken, een functionaris voor de gegevensbescherming aanstellen.

 

Weet u niet zeker of u bijzondere persoonsgegevens verwerkt of onder welke voorwaarden u ze mag verwerken? Wilt u weten of u een DPIA moet uitvoeren of die door ons laten uitvoeren? Of wilt u meer weten over de overige aspecten van de AVG? Bel 020-3450152 of mail naar info@thelegalprivacycompany.nl

Ketenafhankelijkheid bij de bescherming van persoonsgegevens

Steeds meer persoonsgegevens worden gedigitaliseerd en online beheerd. Dit gaat soms mis. Zo stond Facebook vorige week negatief in de belangstelling omdat de data van ruim vijftig miljoen Facebookgebruikers is gebruikt om profielen te maken van stemmers met als doel de Amerikaanse verkiezingen van 2016 te beïnvloeden in het voordeel van Trump. Facebookgebruikers gaven zelf toestemming voor het verzamelen van hun data en gaven daarmee ook toestemming om de data van hun vrienden te verzamelen. Facebook handelt daarmee in strijd met de privacywetgeving.

Dit soort incidenten zorgen ervoor dat de bezorgdheid omtrent privacy toeneemt. Om de bescherming van privacygevoelige gegevens te waarborgen en de wetgeving binnen Europa gelijk te trekken, is vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van toepassing in alle EU-lidstaten. Deze verordening stelt juridisch vast waar organisaties toe verplicht zijn wanneer ze werken met persoonsgegevens.

De AVG maakt bij de verwerking van persoonsgegevens onderscheid tussen de verwerkingsverantwoordelijke en verwerker. De verantwoordelijke bepaalt hoe de persoonsgegevens worden gebruikt en waarvoor. De verwerker verwerkt enkel ten behoeve van de verantwoordelijke persoonsgegevens en schakelt daarvoor mogelijk op zijn beurt een sub-verwerker in.

Er is dus sprake van een keten. Indien u als organisatie werkt met persoonsgegevens, is het belangrijk dat u in kaart brengt welke partijen deel uitmaken van de keten, wat uw functie is binnen de keten en wat de rol van de andere betrokken partijen is.

Indien u als verantwoordelijke kwalificeert, bent u eindverantwoordelijk voor de keten en moet u op grond van de AVG mogelijkheden hebben tot het houden van toezicht en het controleren van de naleving van de AVG. U dient dus alle verwerkers in de keten te identificeren en daarmee een verwerkersovereenkomst te sluiten, ook als er incidenteel persoonsgegevens worden gedeeld. In de verwerkersovereenkomst dient o.a. te worden vastgelegd waar de persoonsgegevens voor mogen worden verwerkt, welke veiligheidsmaatregelen getroffen moeten worden, waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een audit uit te voeren en of de verwerker sub-verwerkers mag inschakelen voor de verwerking. Indien de verwerker een sub-verwerker inschakelt, doet hij er verstandig aan om een sub-verwerkersovereenkomst te sluiten waarin hij minimaal dezelfde inhoudelijke verplichtingen aan de sub-verwerkers oplegt die de verantwoordelijke aan hem heeft opgelegd. Hij is immers altijd aansprakelijk voor het nakomen van de AVG door de sub-verwerker.

Partijen in de keten hebben er dus belang bij om goede afspraken met elkaar te maken over de verdeling van verantwoordelijkheden. Daarnaast is het voor partijen in de keten belangrijk om te weten wat hun en de andere partijen kwetsbaar maakt. Deelname aan de keten zorgt er immers voor dat partijen op bepaalde aspecten afhankelijk worden van elkaar en dat kan risicovol zijn. Indien de privacy risico’s binnen de keten tijdig in kaart worden gebracht, kunnen er passende maatregelen worden genomen om die risico’s te voorkomen of te beperken.

Neem nu bijvoorbeeld cybersecurity. Om de bescherming van persoonsgegevens te kunnen waarborgen, is goede cybersecurity van groot belang. Niet alleen in elke individuele organisatie maar in de gehele keten. Aanvallers richten zich vaak op het bedrijf met de zwakste cybersecurity. Cybersecurity is daarmee zo effectief als de zwakste schakel. Indien een sub-verwerker zijn cybersecurity niet goed op orde heeft en er een datalek plaatsvindt, zullen de Autoriteit Persoonsgegevens en de benadeelde klanten aankloppen bij de verantwoordelijke. De verantwoordelijke zal op haar beurt aankloppen bij de verwerker, aangezien die verantwoordelijk is voor de sub-verwerker.

Het is dan ook van belang dat alle betrokken partijen in de keten met elkaar samenwerken op het gebied van cybersecurity. Onderlinge informatie-uitwisseling vergroot de kennis binnen organisaties waardoor zij beveiligingsincidenten makkelijker kunnen herkennen. Daarnaast kunnen organisaties door een verhoogde integratie van de beveiliging in de keten de impact van een incident voor de eigen organisatie en voor de betrokken partijen beter inschatten en incidenten voorkomen. Ten slotte stimuleert samenwerking binnen de keten gezamenlijke investeringen in cybersecurity.

Twijfelt u of u verantwoordelijke of verwerker bent onder de AVG? Of wilt u meer weten over de overige aspecten van de AVG? Bel 020-3450152 of mail naar info@thelegalprivacycompany.nl