Wellicht sneller sprake van het verwerken van bijzondere persoonsgegevens dan gedacht

13 sep '22

Auteur(s): Nina Witt, Lars Boer,

Wat is de impact hiervan op uw organisatie?

In de Algemene verordening gegevensbescherming (AVG) worden bepaalde categorieën van persoonsgegevens aangemerkt als ‘bijzondere persoonsgegevens’. Voor de verwerking hiervan gelden strengere regels. Recent heeft het Europese Hof van Justitie (HvJ EU) een arrest gewezen waarin is geoordeeld dat voor de beoordeling of bepaalde persoonsgegevens binnen deze categorie vallen, gekeken moet worden naar méér dan alleen die gegevens op zich. Hiermee zal eerder sprake zijn van bijzondere persoonsgegevens.

Verwerking van bijzondere persoonsgegevens is in beginsel verboden. Welke consequenties zitten hieraan voor verwerkingsverantwoordelijken en verwerkers? Waar dient uw organisatie rekening mee te houden?

Welke gegevens zijn bijzondere persoonsgegevens?

Bijzondere persoonsgegevens zijn persoonsgegevens “waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid” (artikel 9 AVG). Deze categorieën van persoonsgegevens hebben met elkaar gemeen dat het gaat om extra gevoelige informatie over de betrokkene. In de overwegingen van de AVG valt te lezen dat deze persoonsgegevens volgens de wetgever een bijzondere behandeling verdienen.

In veel gevallen zal direct duidelijk zijn dat bepaalde persoonsgegevens in een van de ‘bijzondere’ categorieën vallen. Zo zal al snel worden aangenomen dat het gegeven dat iemand lid is van een politieke partij iets zegt over de politieke opvattingen van die persoon – en als zodanig dus binnen de categorie van bijzondere persoonsgegevens vallen. Een ander duidelijk voorbeeld vormen gezondheidsgegevens die worden verwerkt door een zorginstelling.

Maar ook wanneer gegevens in een bepaalde context, of in combinatie met andere gegevens (al dan niet indirect) informatie geven die binnen een categorie valt die als ‘bijzonder’ is aangemerkt, is sprake van bijzondere persoonsgegevens (aldus het HvJ EU). Denk hierbij bijvoorbeeld aan contactgegevens van iemands partner, hetgeen iets kan zeggen over de seksuele geaardheid van de betrokkene.

Waar dient u op te letten wanneer u bijzondere persoonsgegevens verwerkt?

In beginsel is het verboden om bijzondere persoonsgegevens te verwerken. Dit is slechts anders indien aan een van de voorwaarden van artikel 9 lid 2 AVG is voldaan. Bijvoorbeeld dat toestemming is verkregen voor de verwerking of dat de verwerking noodzakelijk is voor de volksgezondheid. Het is dus belangrijk om te beoordelen of een beroep kan worden gedaan op een van de (10) wettelijke uitzonderingsgronden. Op 5 van deze uitzonderingen kan alleen een beroep worden gedaan als een nationale wet die mogelijkheid biedt. Daarbij kunnen dan ook nog nadere vereisten gelden, in Nederland o.a. uitgewerkt in de Uitvoeringswet AVG (UAVG). Let op: ook voor deze verwerkingen is een wettelijke grondslag zoals genoemd in artikel 6 AVG vereist en dient aan alle andere beginselen van de AVG te worden voldaan. Is het bijvoorbeeld wel noodzakelijk om bepaalde bijzondere persoonsgegevens te verwerken? Heeft u de betrokkenen over deze verwerking geïnformeerd?

De verwerking van bijzondere persoonsgegevens brengt, gezien het extra gevoelige karakter van de gegevens, meer (privacy)risico’s met zich. Om de verwerkingen en bijbehorende risico’s goed in kaart te brengen, is het veelal raadzaam om een Data Protection Impact Assessment (DPIA) uit te voeren. In bepaalde gevallen is dat zelfs verplicht (bijvoorbeeld bij het op grote schaal verwerken van gezondheidsgegevens).

Uit het DPIA kan blijken dat aanvullende, beschermende maatregelen dienen te worden getroffen om de risico’s van de verwerking te beperken tot een acceptabel niveau. Hierbij kunt u bijvoorbeeld denken aan het treffen van aanvullende beveiligingsmaatregelen. De AVG koppelt de vereiste beveiligingsmaatregelen aan de aard van de verwerking en bij het verwerken van bijzondere persoonsgegevens zal sprake zijn van strengere beveiligingseisen. De uitkomst van een DPIA kan ook zijn dat het beter is om bepaalde gegevens niet of op andere wijze te verwerken. Ingewikkelder wordt het bijvoorbeeld, wanneer de bijzondere persoonsgegevens worden verstrekt aan entiteiten in landen buiten de Europees Economische Ruimte (EER). Het is raadzaam om het DPIA goed te bewaren in uw administratie, met het oog op uw verantwoordingsplicht onder de AVG – en om het DPIA regelmatig te herhalen.

Welk risico loopt uw organisatie?

Wanneer uw organisatie niet (voldoende) zorgvuldig om gaat met door haar verwerkte bijzondere persoonsgegevens, bestaat er een risico dat er een boete wordt opgelegd door de Autoriteit Persoonsgegevens (AP). Bij het opleggen van de boetes tot op heden, speelde het feit dat er sprake was van bijzondere persoonsgegevens een belangrijke rol. Betrokkenen kunnen ook schadevergoeding vorderen via de rechter. In beide gevallen bestaat het risico dat de schade voor uw organisatie aanzienlijk is wanneer er iets misgaat met de verwerking van deze gegevens – omdat dat een flinke impact kan hebben op het leven van de betrokkene. Het is ook in dit opzicht belangrijk om vooraf en tijdens het verwerken van deze gegevens de nodige zorgvuldigheid te betrachten.

Toch nog even nader bekijken?

U heeft gelezen dat er al snel sprake kan zijn van een verwerking van bijzondere persoonsgegevens en dat u wellicht (herhaaldelijk) een DPIA dient te verrichten. Twijfelt u of bepaalde persoonsgegevens als ‘bijzonder’ kunnen worden aangemerkt? Heeft u hulp nodig bij het verrichten van een DPIA? Neem gerust contact op met ons privacy team via privacy@ploum.nl. Wij helpen u graag. 

Contact

Advocaat

Nina Witt

Expertises:  IT-recht,Privacyrecht,Intellectuele Eigendom,Cybersecurity , Food,Zorg, E-health,E-commerce,

Advocaat

Lars Boer

Expertises:  IT-recht,Privacyrecht,Aanbestedingsrecht,Cybersecurity , Technologie, media en telecom, Commerciële contracten,

Deel dit artikel

Reageer op dit artikel

Wilt u reageren op dit artikel? Inloggen of maak een Mijn Ploum account aan om uw reactie te plaatsen


Blijf op de hoogte

Voeg deze interesses toe aan Mijn Ploum.

Expertise(s)

Onderwerp(en)

Auteur(s)

Heeft u vragen over privacyrecht?

Neem contact op via onderstaand telefoonnummer of stuur ons een email.

Toon alle contactgegevens

Stel direct een vraag

Inschrijven nieuwsbrief

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in ons Privacy statement. U kunt uw voorkeuren altijd wijzigen via de link ‘Wijzig uw gegevens' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses
  • Snel inschrijven voor kennisevents en Ploum Academy
  • Vraag en antwoord mogelijkheden gebruiken bij artikelen

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

Snel inschrijven voor kennisevents en Ploum Academy

Reacties op artikelen plaatsen


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.