AVG-serie: (Bijzondere) persoonsgegevens

Zoals wij eerder al schreven, is de Algemene Verordening Gegevensbescherming (‘AVG’) op 24 mei 2016 in werking getreden. De Wet bescherming persoonsgegevens (‘Wbp’) voorziet tot 25 mei 2018 in de bescherming van persoonsgegevens, waarna de AVG het stokje over zal nemen.

In voornoemde wetgeving zijn regels opgenomen over de rechtmatige verwerking van persoonsgegevens. Verwerking van persoonsgegevens is al gauw aan de orde, niet alleen omdat verwerking een ruim begrip is, maar ook omdat steeds meer informatie als wettelijk relevant persoonsgegeven aan wordt gemerkt.

Wat zijn persoonsgegevens?

Onder persoonsgegeven wordt alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon verstaan. De informatie dient direct of indirect (door middel van herleiding) te kunnen leiden tot identificatie van een natuurlijk persoon.

Voor de hand liggende persoonsgegevens zijn iemands naam, adres, woonplaats, BSN-nummer en (e-mail)adres. Minder voor de hand liggende persoonsgegevens zijn kentekengegevens en IP-adressen.

Wat zijn bijzondere persoonsgegevens en wat verandert er in de AVG?

Meer gevoelige gegevens zoals iemands ras, godsdienst, seksuele leven, politieke opvatting, gezondheid, lidmaatschap van een vakvereniging en strafrechtelijk gedrag worden zowel in de Wbp als de AVG aangemerkt als bijzondere persoonsgegevens, waarvoor de wet een hoge mate aan bescherming biedt.

In de AVG zijn wijzigingen aangebracht in de bewoordingen van categorieën bijzondere persoonsgegevens en is het aantal categorieën bijzondere persoonsgegevens uitgebreid met genetische gegevens en biometrische gegevens.

Genetische gegevens worden in de AVG expliciet als categorie van bijzondere persoonsgegevens vastgelegd. De gevoeligheid van genetische gegevens, zoals DNA, volgt uit het feit dat zij iets zeggen over de gezondheidstoestand van een persoon en diens familieleden.

Biometrische gegevens zijn in de AVG als categorie van bijzondere persoonsgegevens opgenomen voor zover zij verwerkt worden met het oog op unieke identificatie van een persoon. Biometrische gegevens zijn onder meer vingerafdrukken, stem, handschrift, geometrie van de handomtrek en scans van netvlies, iris en gelaat. De gevoeligheid van deze exacte meetgegevens vloeit voort uit het feit dat ze unieke lichaamskenmerken van een persoon bevatten. Een foto van een persoon is echter op grond van het vorenstaande niet per definitie een bijzonder persoonsgegeven. Van een bijzonder persoonsgegeven is immers pas sprake wanneer de foto met behulp van bepaalde technische middelen wordt verwerkt en zo unieke identificatie van een persoon mogelijk maakt. Het belang van wettelijke regulering van biometrische gegevens volgt onder meer uit de ontwikkelingen in het gebruik van biometrie als identificatiemiddel ter regulering van toegang tot bepaalde plaatsen, gebouwen en informatiesystemen.

Waarom is het onderscheid tussen persoonsgegevens en bijzondere persoonsgegevens relevant?

De verwerking van bijzondere persoonsgegevens is zowel op grond van de Wbp als de AVG verboden, tenzij sprake is van een wettelijke uitzondering. Een voorbeeld van een wettelijke uitzondering is uitdrukkelijke toestemming van de persoon wiens persoonsgegevens het betreft. Op deze en andere wettelijke uitzonderingen zal later in de AVG-serie worden teruggekomen.

Wat betekenen de veranderingen in de AVG voor de praktijk?

Het is voor organisaties van belang zich te realiseren dat persoonsgegevens gepaard gaan met wettelijke regels die beogen te waarborgen dat rechtmatige verwerking daarvan plaatsvindt. Wanneer volgend jaar de AVG definitief van kracht wordt, zullen organisaties wegens de uitbreiding van de categorieën bijzondere persoonsgegevens bovendien nog alerter moeten zijn dan nu met de verwerking van bijzondere persoonsgegevens. De bedrijfsprocessen die verband houden met de verwerking van persoonsgegevens zullen daardoor, in aanloop naar 25 mei 2018, wellicht aangepast moeten worden. Het is daarom verstandig tijdig te inventariseren welke persoonsgegevens uw organisatie verwerkt, of deze als bijzondere persoonsgegevens kunnen worden aangemerkt en of de verwerking van deze persoonsgegevens op een rechtsgeldige grondslag berust.

Meer weten over de AVG?

Twijfelt u of u te maken heeft met bijzondere persoonsgegevens? Of weet u niet zeker of de verwerking van deze persoonsgegevens wel is toegestaan op grond van de AVG?

Neem dan contact op met Huub de Jong of Tom de Wit.