Enige tijd geleden hebben wij een blog gepubliceerd over de privacyverklaring. Hierin legden we uitgebreid uit dat AVG-plichtige instellingen bij het opslaan en gebruiken van persoonsgegevens de eigenaren van deze gegevens op de hoogte moeten stellen.
Maar wat zijn persoonsgegevens nu precies en wat is het verschil tussen gewone- en bijzondere persoonsgegevens? Lees snel verder voor een uitgebreid antwoord op deze vraag.
Wat zijn persoonsgegevens?
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon wordt gezien als persoonsgegevens. Dit klinkt breed, en dat het is het ook. Het gaat hier namelijk om alle informatie die direct over een persoon gaat of naar een persoon te herleiden is.
Enkele bekende voorbeelden van persoonsgegevens zijn naam, adres, woonplaats en telefoonnummers. Echter, ook gegevens zoals etnische afkomst, godsdienst en gezondheid worden als persoonsgegevens gezien.
Bescherming persoonsgegevens als grondrecht
De praktische bescherming van persoonsgegevens wordt beschreven in de AVG, maar het recht tot bescherming hiervan komt uit de volgende nationale en internationale wetten en verdragen:
- Artikel 10 lid 1 van de Grondwet
- Artikel 8 van het Europees Verdrag inzake de rechten van de mens en de fundamentele vrijheden (EVRM)
- Artikel 7 van het Handvest van de Grondrechten van de Europese Unie
- Artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR)
Gewone- en bijzondere persoonsgegevens
Niet alle persoonsgegevens zijn hetzelfde en worden in de wet- en regelgeving hetzelfde behandeld. Gegevens zijn immers zeer uiteenlopend, en ook de mate van bescherming verschilt sterk. Een belangrijk onderscheid dat in de AVG wordt beschreven, is dat tussen gewone– en bijzondere persoonsgegevens:
Gewone persoonsgegevens
Gewone persoonsgegevens liggen over het algemeen het minst gevoelig en zijn vaak gemakkelijk online te vinden.
Voorbeelden van deze gegevens zijn:
- Naam
- Adres
- Woonplaats
- Postcode
- Telefoonnummer
Al deze gegevens mogen door bedrijven worden verwerkt, mits er sprake is van één van de volgende grondslagen:
- U heeft de gegevens nodig om een overeenkomst te sluiten. Verkoopt u als makelaar bijvoorbeeld een huis? Dan heeft u het adres en de gegevens van zowel verkoper als koper nodig. Verkoopt u producten die u naar uw klanten toestuurt? Dan heeft u het adres nodig om de producten op te kunnen sturen. Zonder de gegevens kunt u uw werk simpelweg niet doen.
- U bent wettelijk verplicht om gegevens te verwerken. Denk hierbij bijvoorbeeld aan gegevens van klanten of relaties die u moet verstrekken aan de Belastingdienst.
- De eigenaar van de gegevens heeft toestemming gegeven voor de verwerking hiervan. Een voorbeeld hiervan is de toestemming die u nodig heeft voor het versturen van een nieuwsbrief.
- Het verwerken van gegevens is noodzakelijk om een gerechtvaardigd belang te behartigen. U kunt hierbij denken aan gegevens die u nodig heeft om fraude binnen uw bedrijf te bestrijden.
- Het verwerken van de gegevens dient de vitale belangen van de eigenaar. Denk hierbij bijvoorbeeld aan een noodzakelijke verwerkingen bij een medische behandeling.
- Het verwerken van gegevens dient het algemeen belang. Het gaat hier bijvoorbeeld om verwerkingen voor de uitvoering van openbaar gezag of verwerkingen door overheden.
De bovenstaande grondslagen hebben alleen betrekking op gewone persoonsgegevens. Voor het verwerken van bijzondere persoonsgegevens zijn enkele uitzonderingen van toepassing.
Bijzondere persoonsgegevens
Vergeleken met gewone persoonsgegevens, hebben bijzondere persoonsgegevens een gevoeliger aard. Deze gegevens zijn niet openbaar beschikbaar en hebben bijvoorbeeld betrekking op gezondheid, godsdienst, genetische gegevens of gegevens waaruit een etnische afkomst blijkt.
De Autoriteit Persoonsgegevens definieert de volgende gegevens als bijzondere persoonsgegevens:
- Ras of etnische afkomst
- Politieke opvattingen
- Godsdienst of levensovertuiging
- Lidmaatschap van een vakbond
- Genetische of biometrische gegevens met oog op unieke identificatie
- Gezondheid
- Seksuele leven
- Strafrechtelijk verleden
Bijzondere persoonsgegevens zijn door de wetgever extra beschermd. Het is voor AVG-plichtige instellingen dan ook verboden om bijzondere persoonsgegevens te verwerken, tenzij er een wettelijke uitzondering geldt.
Is er sprake van een van de grondslagen voor het verwerken van gewone persoonsgegevens én is een van de onderstaande tien uitzonderingen van toepassing, dan mag u ook bijzondere persoonsgegevens verwerken (zie de website van de Autoriteit Persoonsgegevens voor meer informatie):
- De eigenaar van de gegevens heeft uitdrukkelijk toestemming gegeven voor de verwerking van zijn of haar bijzondere persoonsgegevens.
- U heeft de gegevens nodig om uw verplichtingen uit te voeren of specifieke rechten uit te oefenen van u of de eigenaar van de gegevens. Dit op het gebied van het arbeidsrecht, het socialezekerheidsrecht en het socialebeschermingsrecht. (Deze uitzondering is alleen van toepassing als dit in de wet staat).
- De eigenaar van de gegevens is niet in staat om zijn of haar toestemming te geven, maar de verwerking van bijzondere persoonsgegevens is noodzakelijk om de vitale belangen van deze persoon of van een andere natuurlijke persoon te beschermen.
- U verwerkt de gegevens als stichting, vereniging of andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is. Het gaat om gegevens van uw (oud)leden of personen met wie u regelmatig contact heeft gerelateerd aan uw doelstelling. En u verwerkt de gegevens voor gerechtvaardigde activiteiten en met passende waarborgen.
- Het gaat om gegevens die de eigenaar zelf doelbewust openbaar heeft gemaakt.
- De verwerking is noodzakelijk om een rechtsvordering in te stellen, uit te oefenen of te onderbouwen. Of u handelt als gerecht vanuit uw rechtsbevoegdheid.
- De verwerking is noodzakelijk voor een zwaarwegend algemeen belang. (Deze uitzondering is alleen van toepassing als dit in de wet staat).
- De verwerking is noodzakelijk voor doeleinden van preventieve of (arbeids)geneeskundige aard, zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg. (Deze uitzondering is alleen van toepassing als dit in de wet staat).
- De verwerking is noodzakelijk voor de volksgezondheid. (Deze uitzondering is alleen van toepassing als dit in de wet staat).
- De verwerking is noodzakelijk voor archivering in het algemeen belang, wetenschappelijk/historisch onderzoek of statistische doeleinden. (Deze uitzondering is alleen van toepassing als dit in de wet staat).
Nationale Identificatienummers
Naast gewone- en bijzondere persoonsgegevens, zijn ook nationale identificatienummers (zoals het BSN) aangewezen als een aparte categorie persoonsgegevens. Deze mogen uitsluitend worden verwerkt vanuit een wettelijke verplichting. Wordt dus een kopie van een identiteitsbewijs verwerkt, dan mag het BSN alleen zichtbaar blijven als hier een wettelijke plicht voor is. Dit is zelden het geval.
Hulp nodig?
Heeft u vragen over de naleving van de AVG? ComplyNow biedt diverse diensten die helpen bij de naleving van de AVG. Zo kunt u gebruik maken van een volledige AVG implementatie, een training AVG of AVG expert die al uw vragen beantwoordt.
Meer weten over de AVG? Bekijk dan ook onze blogs over de verwerkersovereenkomst en datalekken eens. Bij vragen over onze diensten of een vrijblijvende kennismaking, neem gerust contact met ons op. Wij horen graag van u!