30 jan '18
In dit artikel komt de vuistregel aan de orde: hoe privacygevoeliger de informatie, des te minder er mag. Het zal met name gaan om bijzondere en gevoelige persoonsgegevens. De gevoeligheid van de gegevens is vooral relevant voor de vraag of een datalek gemeld moet worden, voor welk doel de gegevens gebruikt kunnen worden en hoe lang de gegevens bewaard moeten worden.
In de wet worden bepaalde persoonsgegevens als bijzonder aangemerkt omdat ze informatie over bepaalde bijzondere onderwerpen onthullen. Het gaat om persoonsgegevens met –ook indirecte- informatie over:
Als uitgangspunt geldt dat deze gegevens alleen verwerkt mogen worden met toestemming van betrokkenen. Andere uitzonderingen vindt u in artikel 17 tot en met 23 van de Wbp en straks in artikel 22 tot en met 33 van de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). Deze uitzonderingen zullen in dit artikel niet (allemaal) aan bod komen. Naast bijzondere persoonsgegevens bestaan er ook nog gevoelige persoonsgegevens. Hierbij moet gedacht worden aan het Burger Service Nummer (BSN), gegevens van strafrechtelijke aard, gegevens betreffende iemands financiële situatie, locatiegegevens of persoonsgegevens die verzameld worden met het oog op ‘profiling’, hier onder wordt verstaan “het verzamelen van openbare sociale media-gegevens met het oog op het genereren van profielen”. Deze situaties worden niet allemaal specifiek in de wet vermeld, maar met deze gegevens dient wel voorzichtig worden omgegaan.
Er zijn genoeg organisaties die bijzondere persoonsgegevens verwerken en wellicht zonder dat zij het door hebben. Wellicht is een van onderstaande voorbeelden ook op uw organisatie van toepassing.
Gegevens betreffende iemands gezondheid: allergieën
Uw organisatie verwerkt een bijzonder persoonsgegeven wanneer u een lunchafspraak maakt met een klant of studenten uitnodigt voor een recruitmentevenement en daarbij vraagt naar hun allergieën. Waarschijnlijk noteert u dat of geeft u het door aan de cateraar, hier is dan sprake van het verwerken van een gegeven betreffende iemands gezondheid, wat een bijzonder persoonsgegeven is. Deze gegevens blijven vaak langer bewaard dan nodig is. In principe kunt u deze gegevens direct verwijderen na de lunchafspraak. Uw organisatie kan deze gegevens wel verwerken indien diegene de gegevens zelf heeft verstrekt.
Gegevens betreffende iemands ras: foto’s
Wanneer uw organisatie gebruik maakt van een intern smoelenboek is het belangrijk dat de werknemer uitdrukkelijke toestemming in vrije wil heeft gegeven. Dat is erg lastig bij de relatie tussen de werkgever en werknemer. U kunt het aanleveren van een foto niet verplicht stellen en het niet aanleveren van een foto mag geen gevolgen hebben voor de werknemer.
Gegevens betreffende iemands gezondheid: alcoholcontroles
Een energiebedrijf wilde haar werknemers controleren op alcohol en drugs door het afnemen van willekeurige testen. De AP werd getipt door de werknemers van het energiebedrijf en startte een onderzoek. Bij het afnemen van alcohol- en drugstesten worden verschillende gegevens verwerkt, zoals het verzamelen van adem- of wangslijmmonsters, het vastleggen van de positieve uitslagen van deze monsters door de arbodienst, het verstrekken van gegevens aan de werkgever (HR of leidinggevende) over de (positieve) uitslag van de test en het eventueel registeren van een overtreding door de werkgever in het personeelsdossier van betrokkenen. Al deze handelingen zijn verwerkingen van persoonsgegevens. Volgens de AP heeft de werkgever geen wettelijke grondslag die de verwerking van de medische gegevens rechtvaardigt.
Gegevens betreffende iemands gezondheid tijdens aanbestedingen
Ook als aanbestedende dienst moet u goed opletten of u niet onnodig bijzondere persoonsgegevens verwerkt in uw aanbestedingsdocumentatie. Dit heeft de Autoriteit Persoonsgegevens (AP) vermeld in haar brief naar de Vereniging van Nederlandse Gemeenten. Aanleiding voor deze brief was het feit dat een aantal gemeenten in hun vraag naar Wmo-vervoer adresgegevens, geboortedata, schoollocaties en een aanduiding van de beperkingen van inwoners had opgenomen. De gegevens omtrent de beperkingen zijn bijzondere persoonsgegevens en daarnaast is het niet proportioneel dat zoveel gegevens in de aanbestedingsdocumentatie worden opgenomen.
Gegevens betreffende iemands gezondheid: assessments
Veel organisaties maken gebruik van een assessment tijdens (interne) sollicitatieprocedures. Indien uw organisatie ook gebruik maakt van een assessment tijdens de sollicitatieprocedure, wees er dan van bewust dat het assessmentbureau eventueel bijzondere gegevens verwerkt en daar een wettelijke grondslag voor nodig heeft. De AP heeft geoordeeld dat een assessmentbureau dat naast psychologische gegevens ook DNA verzamelt, geen wettelijke grondslag had voor het verwerken van die bijzondere gegevens, zoals gegevens betreffende iemands ras of gezondheid (zowel fysiek als psychologisch). De AP stelt expliciet dat niet alle assessmentbureaus wettelijke grondslag missen. Als organisatie is het van belang dat u goed op let welke persoonsgegevens worden verzameld en op welke manier de gegevens worden verwerkt, op welke manier toestemming wordt gevraagd en hoe de gegevens worden beveiligd.
Verwerken van het BSN
Als niet-overheidsorganisatie mag u een BSN niet verwerken. De AP heeft in 2017 in meerdere gevallen aangegeven dat het verwerken van het BSN in strijd is met de privacywetgeving. Een transportbedrijf controleerde de identificatiedocumenten van vrachtwagenchauffeurs die goederen kwamen leveren of ophalen. Zo verwerkte het bedrijf ook het BSN van de vrachtwagenchauffeurs. Het BSN is een uniek nummer wat direct herleidbaar is tot een persoon en tevens gevoelig is voor identiteitsfraude. Voor deze verwerking bestond geen wettelijke grondslag. Verwerkt u op dit moment het BSN van werknemers, klanten of derden? Ga dan na of u een wettelijke grondslag heeft om dit bijzondere persoonsgegeven te verwerken.
Onder de AVG zullen genetische gegevens en biometrische gegevens ook vallen onder de bijzondere persoonsgegevens. Strafrechtelijke gegevens gelden niet meer als bijzondere persoonsgegevens, maar vormen een aparte categorie. Voor de verwerking van het BSN, in de UAVG ‘nationaal identificatienummer’ genoemd, blijven de regels hetzelfde als onder de Wbp. De verwerking van de bijzondere persoonsgegevens kan alleen onder een van de genoemde uitzonderingen. Indien uw organisatie op grote schaal één of meerdere bovengenoemde persoonsgegevens verwerkt en dit een kernactiviteit vormt voor uw organisatie, zal uw organisatie het volgende moeten regelen onder de AVG:
Lees meer artikelen in deze reeks:
Voor meer vragen over dit onderwerp kunt u terecht bij ons IT- en privacy team.
20 dec 24
18 dec 24
10 dec 24
04 dec 24
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.