Verwerkt u (toch) ook bijzondere persoonsgegevens?

VAST / 2022 P-038, Nina Witt en Lars Boer, e-ISSN 2667-307X, M.A.D.Lex).

Onder de Algemene verordening gegevensbescherming (hierna: ‘AVG’) gelden voor de verwerking van bijzondere persoonsgegevens strengere regels dan voor het verwerken van reguliere persoonsgegevens. Bijzondere persoonsgegevens zijn bijvoorbeeld persoonsgegevens die zien op de gezondheid of seksuele gerichtheid van betrokkenen.

In een recent arrest van het Europese Hof van Justitie is bevestigd dat het begrip bijzondere persoonsgegevens breed moet worden uitgelegd. Wanneer sprake is van bijzondere persoonsgegevens, welke gevolgen aan deze kwalificatie zitten en, wellicht belangrijker, wat dit betekent voor de praktijk, wordt besproken in dit artikel. Daarbij komen ook boetes van de Autoriteit Persoonsgegevens (AP) en gerechtelijke uitspraken aan bod.

 

1. Wat zijn de bijzondere categorieën van persoonsgegevens?

De AVG definieert persoonsgegevens, samengevat, als: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de “betrokkene”)’. De informatie moet dus iets zeggen over een natuurlijke persoon, die geïdentificeerd moet kunnen worden aan de hand van de gegevens. Die identificatie hoeft niet direct mogelijk te zijn (zoals mogelijk is aan de hand van een naam en/of een BSN). Ook wanneer iemand door de informatie indirect kan worden geïdentificeerd (door de informatie te combineren met andere informatie), is sprake van een persoonsgegeven. Denk hierbij bijvoorbeeld aan een voornaam. Alleen het weten van iemands voornaam, zal niet snel genoeg zijn om die persoon aan te kunnen wijzen. Weet je echter iemands voornaam en adres, dan kun je deze persoon waarschijnlijk wél identificeren. Daarom is een voornaam ook een persoonsgegeven.

 

Dat, als in de inleiding van dit artikel benoemd, voor de verwerking van bijzondere persoonsgegevens strengere regels gelden dan voor de verwerking van reguliere persoonsgegevens, hangt onder meer samen met de aard van die persoonsgegevens. Deze hebben namelijk een gevoeliger karakter dan reguliere persoonsgegevens. Echter, niet alle gegevens die gevoeliger zijn, zijn ook direct bijzondere persoonsgegevens in de zin van artikel 9 AVG. Gevoelige persoonsgegevens zijn bijvoorbeeld het BSN of financiële gegevens. Er dient wel meer aandacht te worden besteed aan de bescherming ervan, maar er geldt in het algemeen geen even streng regime als voor de verwerking van bijzondere persoonsgegevens.

 

Bijzondere persoonsgegevens zijn gegevens die, naar het oordeel van de wetgever, aan de kern van de persoon van de betrokkenen raken. De AVG expliciteert in artikel 9 de categorieën van persoonsgegevens die worden aangemerkt als bijzondere categorieën van persoonsgegevens. Dit zijn gegevens: ‘waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en […] genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid’.

 

In de categorieën ‘politieke opvattingen’ of ‘religieuze of levensbeschouwelijke overtuigingen’, vallen bijvoorbeeld het gegeven dat iemand lid is van een bepaalde politieke partij respectievelijk een bepaalde kerk. Wanneer persoonsgegevens in zo’n categorie vallen, zal hierna aan de hand van een recent arrest van het Hof van Justitie, nader worden besproken.

 

1.1 Het oordeel van het Hof van Justitie

Het Hof van Justitie oordeelde onlangs dat niet alleen persoonsgegevens die evident onder een bepaalde (door de AVG genoemde) categorie vallen bijzondere persoonsgegevens zijn. Ook informatie waaruit indirect, door middel van deductief denken, gegevens zijn te destilleren die onder een categorie van bijzondere persoonsgegevens vallen, moet worden aangemerkt als een bijzonder persoonsgegeven. Dit is in lijn met de hoge mate van bescherming die de AVG beoogt te bieden.

 

In deze zaak ging het om een Litouwse instantie die aanzienlijke financiering ontvangt van de overheid. Om corruptie tegen te gaan moeten alle instanties in Litouwen die overheidsmiddelen ontvangen een opgave van particuliere belangen indienen. Zo moest ook de directeur van de onderhavige instantie een opgave van particuliere belangen indienen, waarbij hij van al zijn werknemers en hun partners de persoonsgegevens en gegevens over eventuele transacties en schenkingen moest aanleveren. Die gegevens werden vervolgens op de website van een overheidsinstantie gepubliceerd. De directeur die de gegevens door moest geven, meende dat het online publiceren van al deze gegevens een inbreuk vormt op het privéleven van zichzelf en zijn werknemers, in het bijzonder doordat ook de gegevens van de partners worden gepubliceerd.1

 

Het Hof van Justitie oordeelde dat het, gelet op de Europese wetgeving, verboden is om een nationale wet in te voeren die iedere instelling die overheidsmiddelen verkrijgt verplicht om een opgave te doen van particuliere belangen om deze online te publiceren.2 Tevens oordeelt het Hof van Justitie, voor dit artikel vooral relevant, dat er bij de publicatie van persoonsgegevens die samengenomen of indirect de seksuele gerichtheid van een natuurlijk persoon kunnen onthullen sprake is van een verwerking van bijzondere persoonsgegevens.3

 

Het is dus niet zo dat alleen het gegeven dat iemand heteroseksueel of homoseksueel is, valt in de categorie van persoonsgegevens die iets zeggen over iemands seksuele gerichtheid. Ook wanneer iemands partner wordt bekendgemaakt, kan daaruit veelal worden afgeleid of iemand homoseksueel of heteroseksueel is, en is dus sprake van een verwerking van bijzondere persoonsgegevens.

 

Met zijn arrest bevestigt het Hof dat het begrip ‘bijzondere persoonsgegevens’ ruim moet worden uitgelegd. Daarom zal ook wanneer indirect bijzondere informatie uit bepaalde gegevens kan worden afgeleid, sprake zijn van een verwerking van bijzondere persoonsgegevens. Bedrijven (waaronder verzekeraars) zullen dus nog meer opmerkzaam moeten zijn welke persoonsgegevens zij precies verwerken en of deze samengenomen kunnen leiden tot een bijzonder persoonsgegeven. Vanzelfsprekend is het altijd belangrijk om te beoordelen of die gegevens ook strikt noodzakelijk zijn. Aangezien de lat voor het mogen verwerken van bijzondere persoonsgegevens hoger ligt zal daarnaast ook goed gekeken moeten worden of de grondslag op basis waarvan de persoonsgegevens nu worden verwerkt nog opgaat én of een wettelijke uitzonderingsgrond bestaat.

 

2. Wat zijn de gevolgen als persoonsgegevens ‘bijzonder’ zijn?

Wanneer persoonsgegevens kwalificeren als bijzondere persoonsgegevens, zitten hier bepaalde consequenties aan. De belangrijkste hieraan verbonden consequentie is dat deze persoonsgegevens in beginsel niet verwerkt mogen worden. Uitsluitend wanneer een beroep kan worden gedaan op een van de in artikel 9 lid 2 AVG opgenomen uitzonderingsgronden, is het verwerken van bijzondere persoonsgegevens toegestaan. De uitzonderingsgronden zijn de volgende:

• De betrokkene heeft uitdrukkelijk toestemming gegeven voor de verwerking. Hierbij geldt dat de AVG eisen stelt aan de toestemming. In de basis komen deze eisen erop neer dat de toestemming geïnformeerd, vrijelijk en actief moet zijn gegeven. Informatie over de verwerking dient voorafgaand aan het verkrijgen van de toestemming te worden verstrekt. Daarbij moet de betrokkene zijn geïnformeerd over het feit dat de toestemming ook altijd weer ingetrokken kan worden. Wanneer toestemming door een betrokkene wordt ingetrokken, dient de verwerking van de persoonsgegevens te worden gestaakt. Voor reeds verrichte verwerkingen heeft dit echter niet het effect dat deze ongedaan dienen te worden gemaakt. Dit zal in veel gevallen immers niet mogelijk zijn.
• De verwerking is noodzakelijk in het kader van verplichtingen op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht. Op grond van deze uitzondering mogen bijzondere persoonsgegevens van werknemers worden verwerkt om bijvoorbeeld gezondheidsrisico’s bij de uitvoering van werkzaamheden te beperken, mits daarvoor wel een in de wet vastgelegde grondslag bestaat.
• De verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of een andere natuurlijke persoon. Hierbij moet het gaan om verwerkingen die noodzakelijk zijn in een acute situatie. Bijvoorbeeld het doorgeven van iemands medische gegevens aan ambulancebroeders in geval van directe nood.
• De verwerking wordt verricht door een organisatie zonder winstoogmerk (zoals een stichting of een vereniging) die werkzaam is op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied.
• De verwerking betreft persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt.
• De verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
• De verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang in het kader van een algemeen belang dat bij wet is vastgelegd. Dit betreft belangen die in principe door overheidsorganisaties worden behartigd. Een particuliere organisatie zal dus niet snel een beroep op deze uitzonderingsgrond toekomen.
• De verwerking is noodzakelijk voor doeleinden van arbeidsgeneeskunde, de beoordeling van arbeidsgeschiktheid, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten. Deze grondslag is bedoeld om verwerking van gezondheidsgegevens door medisch beroepsbeoefenaars te faciliteren. Wanneer de verwerking niet door deze groep geschiedt, is een beroep op deze grondslag in de regel niet mogelijk.
• De verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, voor zover bij wet vastgelegd.
• De verwerking is noodzakelijk voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of voor statistische doeleinden.

 

3. Verdere vereisten

Naast het verwerkingsverbod, geldt ook dat andere eisen uit de AVG bij het verwerken van bijzondere persoonsgegevens strikter moeten worden geïnterpreteerd. Zo kan bijvoorbeeld gedacht worden aan artikel 32 AVG. Dit vereist dat een verwerkingsverantwoordelijke passende beveiligingsmaatregelen treft, mede met het oog op de aard van de verwerking. Wanneer de verwerking een verwerking van bijzondere persoonsgegevens betreft, ligt het voor de hand dat ook hogere eisen worden gesteld aan de beveiliging van die persoonsgegevens. Een goed voorbeeld hiervan is de verwerking van medische gegevens door ziekenhuizen. Bij deze verwerkingen dient o.a. te zijn voldaan aan bepaalde NEN-normen, die in ieder geval vereisen dat de toegang tot en handelingen met deze gegevens worden gelogd en dat de toegang tot de gegevens is beveiligd middels een dubbele identificatie (twee-factor-authenticatie).

 

Van belang is verder dat, naast een uitzonderingsgrond, zoals bij elke verwerking van persoonsgegevens een verwerkingsgrondslag als genoemd in artikel 6 AVG dient te bestaan. Dit kan bijvoorbeeld toestemming zijn of een gerechtvaardigd belang. Wanneer gegevens worden verwerkt op grond van een gerechtvaardigd belang is wederom de bijzondere aard van de gegevens van belang. Hier moet altijd een belangenafweging plaatsvinden. Bij de verwerking van bijzondere persoonsgegevens zal het belang bij de uitvoering van de verwerking groter dienen te zijn. Immers, het belang van betrokkenen bij beperking van de verwerking is ook groter.

 

Wanneer persoonsgegevens kwalificeren als bijzondere persoonsgegevens heeft dit behoorlijke gevolgen. Deze gevolgen zijn met name relevant voor de verwerkingsverantwoordelijke (degene die de gegevensverwerking initieert). Deze zal namelijk een uitzondering moeten vinden die de verwerking toestaat en moeten zorgen dat bijvoorbeeld extra beveiligingsmaatregelen worden getroffen. Wanneer de verwerkingsverantwoordelijke een verwerker inschakelt voor de verwerking, zal in de tussen hen gesloten verwerkersovereenkomst bepaald moeten worden wat van de verwerker wordt verwacht. Daarin zal dan bijvoorbeeld moeten worden afgesproken dat de verwerker de gegevens beveiligt op een niveau dat verwacht mag worden gelet op de aard van de gegevens.

 

4. Het belang van de juiste omgang met bijzondere persoonsgegevens in de praktijk

Het is van belang inzicht te hebben in het antwoord op de vraag of een organisatie bijzondere persoonsgegevens verwerkt. Bij de verwerking daarvan zal immers met meer (en hogere) eisen rekening moeten worden gehouden. Dat het niet voldoen aan die eisen in de praktijk ook daadwerkelijk boetes oplevert, die veelal relatief hoger zijn omdat bijzondere persoonsgegevens zijn betrokken, zien we terug in de praktijk. Hierna zullen wij een aantal boetes die zijn opgelegd door de Autoriteit Persoonsgegevens (AP) behandelen, waarin duidelijk naar voren komt dat het van belang is goed op te letten bij de verwerking van bijzondere persoonsgegevens. Daarnaast zal ook een recente uitspraak van de rechtbank Zeeland-West-Brabant aan bod komen, waaruit blijkt dat het feit dat sprake is van bijzondere persoonsgegevens ook een belangrijke rol kan spelen bij het toekennen van schadevergoedingen.

 

4.1 Boetes van de AP waarin bijzondere persoonsgegevens een rol spelen

De AP benadrukt dat er voor bijzondere persoonsgegevens een hoger beschermingsniveau is vereist, omdat de aard van die gegevens gevoelig is en de risico’s bij de verwerking van deze gegevens groter zijn. Hierdoor kunnen onrechtmatige verwerkingen erg ingrijpend zijn.4 De AP schrijft over deze bijzondere gegevens: ‘Deze categorie persoonsgegevens wordt door de wet extra beschermd. Komen deze gegevens in verkeerde handen, dan kan dit mogelijk leiden tot onherstelbare schade. Zoals chantage of identiteitsfraude.’5

 

De AP heeft al verschillende boetes opgelegd in gevallen waarin iets mis is gegaan bij de verwerking van bijzondere persoonsgegevens. Sterker nog: bijzondere persoonsgegevens spelen eigenlijk bijna altijd een rol bij de boetes die de AP tot nu toe heeft opgelegd.

 

Voorbeelden van boetes waarbij bijzondere persoonsgegevens een rol speelden zijn de boetes die zijn opgelegd aan medische instanties: het Haga ziekenhuis, het OLVG en een orthodontiepraktijk.6 Deze drie boetes zijn opgelegd omdat niet voldaan was aan bepaalde beveiligingseisen met betrekking tot medische gegevens. Daarnaast kan ook gedacht worden aan de boete die is opgelegd aan de PVV Overijssel, waarbij gegevens die betrekking hadden op de politieke voorkeuren van de betrokkenen waren gelekt, of de boetes aan Transavia en het ministerie van Buitenlandse Zaken die zijn opgelegd omdat bijzondere persoonsgegevens onvoldoende beveiligd werden.7 Ook de Belastingdienst ontving al tot tweemaal toe een (hoge) boete voor onregelmatigheden bij de verwerking van bijzondere persoonsgegevens (eenmaal voor een discriminerende werkwijze en eenmaal voor het gebruik van zwarte lijsten).8

 

Ook is tweemaal een boete opgelegd aan werkgevers die (onnodig) bijzondere persoonsgegevens van hun werknemers verwerkten. De eerste van die twee is opgelegd aan een bedrijf dat – onnodig – biometrische gegevens van zijn werknemers verwerkte om zijn systemen te beveiligen. Inloggen in de systemen kon alleen met de vingerafdruk van de medewerker, terwijl bijvoorbeeld ook voor een toegangspas kon worden gekozen.9 De andere boete in dit kader is opgelegd aan een bedrijf dat meer dan de noodzakelijke informatie (waaronder de ziekte van de medewerker) van zijn medewerkers verwerkte in geval van ziekteverzuim. Daarnaast werd deze informatie onvoldoende beveiligd. Om deze redenen werd een boete opgelegd.10

 

Hierbij dient opgemerkt te worden dat de AP in alle gevallen aandacht heeft besteed aan de aard van de verwerkte gegevens bij het bepalen van de boetebedragen. Dit leidde er telkens toe dat de boetes hoger uitvielen doordat bijzondere persoonsgegevens waren betrokken. De AP neemt in haar overweging voor de bepaling van de hoogte van een boete mee om welke categorie(ën) van betrokken persoonsgegevens het gaat. Daarnaast valt een inbreuk op artikel 9 AVG in de zwaarste boetecategorie.11

 

Dat bijzondere persoonsgegevens betrokken zijn, leidt er dus niet alleen toe dat aan meer regels voldaan dient te zijn om aan de AVG te voldoen, maar ook tot hogere boetes wanneer niet aan de AVG is voldaan.

 

4.2 Recente uitspraak rechtbank Zeeland-West-Brabant

Ook in de rechtspraak hebben zich meerdere situaties voorgedaan waarbij de rechter het van belang achtte dat bepaalde persoonsgegevens in een bijzondere categorie vielen. Dit was bijvoorbeeld het geval in een recente uitspraak van de rechtbank Zeeland-West-Brabant. In deze opmerkelijke zaak speelt een drietal personen, bestaande uit een gescheiden stel en de nieuwe partner van de man, de hoofdrol. Deze nieuwe partner was werkzaam bij het Bravis Ziekenhuis en kon, gezien haar functie bij het Bravis Ziekenhuis, inzage verkrijgen in de medische gegevens van de ex-partner van de man. Mede op basis van die medische gegevens heeft de man vervolgens een boek geschreven over de stukgelopen relatie. De rechtbank achtte duidelijk dat hier onrechtmatig gegevens zijn ingezien door deze werkneemster van het Bravis Ziekenhuis.

 

De rechtbank oordeelt dat het ziekenhuis (als werkgever) risicoaansprakelijk is voor het feit dat een werknemer onrechtmatig handelt jegens een betrokkene. Daarbij acht de rechtbank van belang dat de inzage plaatsvond onder werktijd en dat de inzage plaats heeft kunnen vinden juist doordat de nieuwe partner werkzaam was voor het Bravis Ziekenhuis.12 Daarnaast is de rechtbank van oordeel dat het ziekenhuis de gegevens onvoldoende heeft beveiligd. Hoewel het geoorloofd was dat de vrouw in haar functie geautoriseerd was de gegevens (indien nodig en in het kader van haar functie) in te zien, had het ziekenhuis de logging van de inzage in de dossiers systematisch en consequent moeten controleren (steeksproefgewijs was onvoldoende).13 Een dergelijke verplichting zagen wij ook terug in de eerdergenoemde boetebesluiten van de AP.

 

In deze zaak werd een schadevergoeding toegekend van € 2.000. Onder het Nederlandse schadevergoedingsrecht worden specifieke eisen gesteld aan schade om voor vergoeding in aanmerking te komen. In beginsel dient schade met concrete gegevens te worden onderbouwd. Dat is bij een inbreuk op het recht op gegevensbescherming vaak lastig. Veelal zal de schade bestaan uit een onprettig gevoel dat niet of nauwelijks concreet onderbouwd kan worden (immateriële schade). In dit geval wordt schade echter, zonder deze concrete onderbouwing, aangenomen. De rechtbank overweegt hiertoe dat de aard en ernst van de normschending, gezien de aard van de betrokken gegevens leiden tot de conclusie dat schade voor de hand ligt en dus kan worden aangenomen. De toegekende schadevergoeding is ook relatief hoog ten opzichte van andere uitspraken.

 

5. Aanbevelingen voor de praktijk

Naar aanleiding van al het voorgaande staan wij hier nog bij een aantal punten stil. De bottom line zal inmiddels duidelijk zijn: bij de verwerking van bijzondere persoonsgegevens is extra voorzichtigheid geboden. Wij geven, als handvatten om te voldoen aan de AVG, de volgende tips mee:

• Beoordeel, bij voorkeur aan de hand van een verwerkingsregister, of bijzondere persoonsgegevens worden verwerkt. Wees hierbij kritisch, ook wanneer bijzondere persoonsgegevens gededuceerd kunnen worden uit de gegevens die worden verwerkt, is sprake van bijzondere persoonsgegevens.
• Indien bijzondere persoonsgegevens worden verwerkt, moet worden bekeken op welke grondslag deze verwerking kan worden gebaseerd en of deze verwerking wel echt noodzakelijk is.
• Wanneer bijzondere persoonsgegevens worden verwerkt, moet worden beoordeeld op welke uitzondering van artikel 9 AVG een beroep kan worden gedaan.
• Wanneer de gegevens mogen worden verwerkt, moet veelal een Data Processing Impact Assessment (DPIA) worden verricht. Dit is vereist wanneer een verwerking een hoog risico voor de betrokkenen met zich brengt. Daarvan zal bij de verwerking van bijzondere persoonsgegevens al snel sprake zijn. Met een DPIA worden de risico’s in kaart gebracht en wordt vastgesteld welke maatregelen moeten worden genomen. Zo kan ervoor worden gezorgd dat bij de verwerking van bijzondere persoonsgegevens de AVG wordt nageleefd.
• Informeer betrokkenen over de verwerking van hun (bijzondere) persoonsgegevens en zorg ervoor dat er, wanneer de gegevens gedeeld worden met derde partijen, passende overeenkomsten worden gesloten ter bescherming van deze gegevens. Leg ook ergens vast welke maatregelen uit welk oogpunt zijn genomen, in het kader van de transparantieverplichtingen uit de AVG.
• De verwerking moet, ook na het implementeren van de maatregelen, doorlopend geëvalueerd worden.

 

Wanneer het voorgaande ter harte wordt genomen, zijn goede stappen gezet om te voldoen aan een aantal belangrijke eisen die de AVG stelt aan het verwerken van bijzondere persoonsgegevens. Aan welke eisen (verder) precies voldaan zal moeten worden, dient per geval te worden bekeken. Uiteindelijk is onder de AVG nog altijd behoorlijk veel mogelijk is, zolang er maar voor is gezorgd dat de belangen van betrokkenen voldoende worden beschermd.

 

Noten

1 HvJ EU 1 Augustus 2022, C-184/20, ECLI:EU:C:2022:601, r.o. 40.

2 HvJ EU 1 Augustus 2022, C-184/20, ECLI:EU:C:2022:601, r.o. 116.

3 HvJ EU 1 Augustus 2022, C-184/20, ECLI:EU:C:2022:601, r.o. 128.

4 Een voorbeeld hiervan is te vinden in een boetebesluit van de AP waarin een boete aan het ministerie van Buitenlandse Zaken is opgelegd voor slechte beveiliging van visumaanvragen.

5 Zie: Boete voor bedrijf voor verwerken vingerafdrukken werknemers.

6 Zie: Haga beboet voor onvoldoende interne beveiliging patiëntendossiers, Ziekenhuis OLVG beboet om onvoldoende beveiliging medische dossiers en Boete orthodontiepraktijk vanwege onbeveiligde patiëntenwebsite.

7 Zie: Boete PVV Overijssel vanwege niet melden datalek, AP beboet Transavia om slechte beveiliging persoonsgegevens en Boete voor Buitenlandse Zaken voor slechte beveiliging visumaanvragen.

8 Zie: Boete Belastingdienst voor discriminerende en onrechtmatige werkwijze en Boete Belastingdienst voor zwarte lijst FSV.

9 Zie: Boete voor bedrijf voor verwerken vingerafdrukken werknemers.

10 Zie: Boete voor CP&A om privacyschending zieke werknemers.

11 Zie de Boetebeleidsregels Autoriteit Persoonsgegevens 2019.

12 Rb. Zeeland-West-Brabant 21 september 2022, ECLI:NL:RBZWB:2022:5457, r.o. 4.10.

13 Rb. Zeeland-West-Brabant 21 september 2022, ECLI:NL:RBZWB:2022:5457, r.o. 4.24.