AVG en de verwerking van bijzondere persoonsgegevens

Tijdens het werken met gegevens van klanten of werknemers, is er een onderscheid te maken tussen ´gewone´ persoonlijke gegevens en bijzondere persoonlijke gegevens. Bijzondere gegevens zijn nog persoonlijker en gevoeliger en krijgen daarom strengere regels tijdens de verwerking hiervan. Kijk voor het algemeen juridisch kader naar volgend artikel: AVG, Wat moet je écht in orde hebben?

Bijzondere gegevens 

Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (Art. 4 lid 1 AVG). Bijvoorbeeld een voor- en achternaam of e-mailadres. De volgende gegevens zijn volgens de Algemene Verordening Gegevensbescherming (AVG) bijzondere persoonsgegevens:

• Gegevens die verwijzen naar ras of etnische afkomst;
• Gegevens die verwijzen naar politieke opvattingen;
• Gegevens die verwijzen naar religieuze of levensbeschouwelijke overtuigingen;
• Gegevens die verwijzen naar het lidmaatschap van een vakvereniging;
• Medische gegevens die verwijzen naar iemands gezondheid;
• Gegevens die verwijzen naar iemands seksuele gedrag of gerichtheid;
• Genetische gegevens die verwijzen naar iemands erfelijke en genetische kenmerken (DNA); en
• Biometrische gegevens die verwijzen naar fysiek-, mentaal- of gedragsgerelateerde kenmerken (bv. vingerafdrukken).

Bijzondere gegevens worden door de AVG beter beschermd dan ´gewone´ gegevens, omdat deze gevoeliger zijn.

Gegevens verwerken

Het verwerken van bijzondere gegevens is in principe verboden, toch bestaan er tien uitzonderingen voor wanneer dit wel mag (Art. 9 AVG):

1.  De persoon heeft duidelijk toestemming gegeven voor de verwerking.
2. De verwerking is noodzakelijk om aan de verplichting te voldoen van het arbeidsrecht, socialezekerheidsrecht en het sociale beschermingsrecht. (Alleen als dit in een wet vermeld wordt, kan hier een beroep op worden gedaan.)
3. De persoon is zelf fysiek of juridisch niet in staat om toestemming te geven, maar de verwerking is noodzakelijk om de vitale belangen van betrokkene te beschermen.
4. De gegevens worden verwerkt door een stichting, vereniging of andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is. Het betreft gegevens van (oud) leden of personen waar regelmatig contact mee is. Hier is uiteraard toestemming van de betrokkene voor nodig.
5. De persoon heeft de bijzondere gegevens zelf kenbaar gemaakt.
6. De verwerking is noodzakelijk om een rechtsvordering in te stellen, uit te oefenen, te onderbouwen of je handelt uit rechtsbevoegdheid (bv. een advocaat).
7. De verwerking is noodzakelijk voor een zwaarwegend algemeen belang, maar er dienen maatregelen te worden getroffen ter bescherming van de grondrechten en fundamentele belangen van de betrokkene. (Alleen als dit in een wet vermeld wordt, kan hier een beroep op worden gedaan).
8. De verwerking is noodzakelijk voor doeleinden van preventieve of (arbeids) geneeskundige aard. Dit kan bv. bestaan uit het beoordelen van de arbeidsongeschiktheid of het verstrekken van medische zorg. (Alleen als dit in een wet vermeld wordt, kan hier een beroep op worden gedaan).
9. De verwerking is noodzakelijk om de volksgezondheid te beschermen. Bijvoorbeeld tegen een pandemie. (Alleen als dit in een wet vermeld wordt, kan hier een beroep op worden gedaan).
10. De verwerking is noodzakelijk voor archivering in het algemeen belang, wetenschappelijk/historisch onderzoek of statistische doeleinden. Er dienen maatregelen te worden getroffen ter bescherming van de grondrechten en fundamentele belangen van de betrokkene. (Alleen als dit in een wet vermeld wordt, kan hier een beroep op worden gedaan).

Het verwerken van strafrechtelijke persoonsgegevens is ook verboden. Dit zijn gegevens die iets zeggen over een strafbaar feit van een persoon. Strafrechtelijke gegevens mogen alleen verwerkt worden als er sprake is van een grondslag van de ´gewone´ persoonsgegevens én een specifieke wettelijke uitzondering (Art. 32 en 33 UAVG). Deze staan onder toezicht van de overheid. Het gebruiken van bijzondere gegevens voor eigen gebruik mag uiteraard wel. Bijvoorbeeld persoonlijke gegevens van familie en/of vrienden. Kijk naar ons artikel Verwerkersovereenkomst persoonsgegevens om meer te weten te komen over het verwerken van gegevens.

Overtreding 

Eenieder die betrokkene is bij het verwerken van zijn persoonlijke gegevens, kan een klacht indienen bij de AP (Art. 77 lid 1 AVG). De AP behandelt deze klacht en gaat na of er sprake is van een overtreding. Er zijn maatregelen die de AP kan geven om schending van de AVG tegen te gaan/te voorkomen:

• Een waarschuwing geven;
• Een berisping geven;
• Een verwerkingsverbod geven;
• Een last onder dwangsom opleggen; of
• Een boete opleggen.

Aangezien het gevoelige persoonlijke gegevens zijn, bestaan er een strenge regels. Er kan door de toezichthouder, de autoriteit persoonsgegevens (AP), een flinke geldboete worden opgelegd bij een overtreding. Er worden elf dingen beschreven waar rekening mee dient te worden gehouden op het moment dat er een geldboete wordt opgelegd (Art. 83 lid 1 AVG). Dan wordt bijvoorbeeld gekeken of de overtreding opzettelijk was. Dit is om de ernst van de overtreding en de bijpassende boete te bepalen.

In subcategorie IV van de AVG geldt € 450.000 tot € 1.000.000 (basisboete: € 725.000). Deze boete wordt gegeven als een bedrijf zonder rechtmatige grondslag bijzondere persoonsgegevens verwerkt. De maximale boete die kan worden gegeven, is 20 miljoen euro of 4% van de wereldwijde jaaromzet. De hoogte van de boete bepaald de AP door middel van de Boetebeleidsregels Autoriteit Persoonsgegevens 2019.