Wellicht sneller sprake van het verwerken van bijzondere persoonsgegevens dan gedacht

Wat is de impact hiervan op uw organisatie?

In de Algemene verordening gegevensbescherming (AVG) worden bepaalde categorieën van persoonsgegevens aangemerkt als ‘bijzondere persoonsgegevens’. Voor de verwerking hiervan gelden strengere regels. Recent heeft het Europese Hof van Justitie (HvJ EU) een arrest gewezen waarin is geoordeeld dat voor de beoordeling of bepaalde persoonsgegevens binnen deze categorie vallen, gekeken moet worden naar méér dan alleen die gegevens op zich. Hiermee zal eerder sprake zijn van bijzondere persoonsgegevens.

Verwerking van bijzondere persoonsgegevens is in beginsel verboden. Welke consequenties zitten hieraan voor verwerkingsverantwoordelijken en verwerkers? Waar dient uw organisatie rekening mee te houden?

Welke gegevens zijn bijzondere persoonsgegevens?

Bijzondere persoonsgegevens zijn persoonsgegevens “waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid” (artikel 9 AVG). Deze categorieën van persoonsgegevens hebben met elkaar gemeen dat het gaat om extra gevoelige informatie over de betrokkene. In de overwegingen van de AVG valt te lezen dat deze persoonsgegevens volgens de wetgever een bijzondere behandeling verdienen.

In veel gevallen zal direct duidelijk zijn dat bepaalde persoonsgegevens in een van de ‘bijzondere’ categorieën vallen. Zo zal al snel worden aangenomen dat het gegeven dat iemand lid is van een politieke partij iets zegt over de politieke opvattingen van die persoon – en als zodanig dus binnen de categorie van bijzondere persoonsgegevens vallen. Een ander duidelijk voorbeeld vormen gezondheidsgegevens die worden verwerkt door een zorginstelling.

Maar ook wanneer gegevens in een bepaalde context, of in combinatie met andere gegevens (al dan niet indirect) informatie geven die binnen een categorie valt die als ‘bijzonder’ is aangemerkt, is sprake van bijzondere persoonsgegevens (aldus het HvJ EU). Denk hierbij bijvoorbeeld aan contactgegevens van iemands partner, hetgeen iets kan zeggen over de seksuele geaardheid van de betrokkene.

Waar dient u op te letten wanneer u bijzondere persoonsgegevens verwerkt?

In beginsel is het verboden om bijzondere persoonsgegevens te verwerken. Dit is slechts anders indien aan een van de voorwaarden van artikel 9 lid 2 AVG is voldaan. Bijvoorbeeld dat toestemming is verkregen voor de verwerking of dat de verwerking noodzakelijk is voor de volksgezondheid. Het is dus belangrijk om te beoordelen of een beroep kan worden gedaan op een van de (10) wettelijke uitzonderingsgronden. Op 5 van deze uitzonderingen kan alleen een beroep worden gedaan als een nationale wet die mogelijkheid biedt. Daarbij kunnen dan ook nog nadere vereisten gelden, in Nederland o.a. uitgewerkt in de Uitvoeringswet AVG (UAVG). Let op: ook voor deze verwerkingen is een wettelijke grondslag zoals genoemd in artikel 6 AVG vereist en dient aan alle andere beginselen van de AVG te worden voldaan. Is het bijvoorbeeld wel noodzakelijk om bepaalde bijzondere persoonsgegevens te verwerken? Heeft u de betrokkenen over deze verwerking geïnformeerd?

De verwerking van bijzondere persoonsgegevens brengt, gezien het extra gevoelige karakter van de gegevens, meer (privacy)risico’s met zich. Om de verwerkingen en bijbehorende risico’s goed in kaart te brengen, is het veelal raadzaam om een Data Protection Impact Assessment (DPIA) uit te voeren. In bepaalde gevallen is dat zelfs verplicht (bijvoorbeeld bij het op grote schaal verwerken van gezondheidsgegevens).

Uit het DPIA kan blijken dat aanvullende, beschermende maatregelen dienen te worden getroffen om de risico’s van de verwerking te beperken tot een acceptabel niveau. Hierbij kunt u bijvoorbeeld denken aan het treffen van aanvullende beveiligingsmaatregelen. De AVG koppelt de vereiste beveiligingsmaatregelen aan de aard van de verwerking en bij het verwerken van bijzondere persoonsgegevens zal sprake zijn van strengere beveiligingseisen. De uitkomst van een DPIA kan ook zijn dat het beter is om bepaalde gegevens niet of op andere wijze te verwerken. Ingewikkelder wordt het bijvoorbeeld, wanneer de bijzondere persoonsgegevens worden verstrekt aan entiteiten in landen buiten de Europees Economische Ruimte (EER). Het is raadzaam om het DPIA goed te bewaren in uw administratie, met het oog op uw verantwoordingsplicht onder de AVG – en om het DPIA regelmatig te herhalen.

Welk risico loopt uw organisatie?

Wanneer uw organisatie niet (voldoende) zorgvuldig om gaat met door haar verwerkte bijzondere persoonsgegevens, bestaat er een risico dat er een boete wordt opgelegd door de Autoriteit Persoonsgegevens (AP). Bij het opleggen van de boetes tot op heden, speelde het feit dat er sprake was van bijzondere persoonsgegevens een belangrijke rol. Betrokkenen kunnen ook schadevergoeding vorderen via de rechter. In beide gevallen bestaat het risico dat de schade voor uw organisatie aanzienlijk is wanneer er iets misgaat met de verwerking van deze gegevens – omdat dat een flinke impact kan hebben op het leven van de betrokkene. Het is ook in dit opzicht belangrijk om vooraf en tijdens het verwerken van deze gegevens de nodige zorgvuldigheid te betrachten.

Toch nog even nader bekijken?

U heeft gelezen dat er al snel sprake kan zijn van een verwerking van bijzondere persoonsgegevens en dat u wellicht (herhaaldelijk) een DPIA dient te verrichten. Twijfelt u of bepaalde persoonsgegevens als ‘bijzonder’ kunnen worden aangemerkt? Heeft u hulp nodig bij het verrichten van een DPIA? Neem gerust contact op met ons privacy team via privacy@ploum.nl. Wij helpen u graag.