Grondslagendiscussie II (bijzondere persoonsgegevens)

Nu lijkt het vanzelfsprekend, dat met deze gegevens veel zorgvuldiger wordt omgegaan, maar de grenzen zijn snel overschreden. Wanneer een (professionele- of amateur-) sportclub een ledenvolgsysteem heeft (om prestaties te optimaliseren c.q. talent sneller en beter te kunnen ontwikkelen), zullen notities betreffende blessures en deelname aan vastenperiodes onder de verzwaarde categorie vallen. Hetzelfde geldt voor een online ‘smoelenboek’, waar iemands ras of herkomst of levensovertuiging wellicht uit foto’s kan worden afgeleid. Maar ook een contactverbod opgelegd aan een familielid of een derde valt hieronder.

Het gaat volgens de Wbp om gegevens betreffende ‘godsdienst of levensovertuiging’, ‘ras’, ‘politieke gezindheid’, ‘gezondheid’, ‘seksuele leven’ en gegevens betreffende het ‘lidmaatschap van een vakvereniging’. Daarnaast worden ook strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dag gedrag (bijvoorbeeld een straat- of contactverbod) onder eenzelfde, zware beschermingsregime geschaard.

In iets andere bewoordingen bepaalt artikel 9 AVG hetzelfde. De AVG noemt wel specifiek genetische en biometrische gegevens en lijkt wat dat betreft meer up-to-date. Voor wat betreft het BSN of gegevens betreffende straat- of contactverboden kent de AVG geen specifieke regeling. Maar dat zal door de Nederlandse wetgever worden geregeld. Het is nog de vraag in hoeverre artikel 10 AVG (“strafrechtelijke veroordelingen en feiten of daarmee verband houdende veiligheidsmaatregelen”) straat- en contactverboden bestrijkt, want mogelijk zijn er straat- of contactverboden die geen verband (lijken te) houden met strafrechtelijke veroordelingen of strafrechtelijke feiten.

Het verzwaarde beschermingsregime behelst een algemeen verbod tot verwerking van bijzondere persoonsgegevens, met een beperkter aantal wettelijke grondslagen. Deze wettelijke grondslag is vereist naast de ‘algemene’ grondslag voor het verwerken van persoonsgegevens, die voor álle persoonsgegevens geldt. Een eenvoudige belangenafweging door de verantwoordelijke kan de verwerking van bijzondere persoonsgegevens niet dragen. Die grondslagen voor verwerking zijn bovendien veel specifieker omschreven.

Burgerservicenummers kennen ingevolge artikel 24 Wbp een eigen regime: alleen (doeleinden die bij) de wet of een algemene maatregel van bestuur kan de verwerking van het BSN rechtvaardigen. Toestemming van de betrokkene kan op zich dus de verwerking van het BSN dragen.

Maar de bijzondere bescherming vertaalt zich ook in de afweging van wat nu precies een ‘passend beveiligingsniveau‘ is. De aard van de gegevens moet daarin namelijk worden meegewogen. En wanneer het bijzondere gegevens betreft, moet u veel voorzichtiger zijn met het verzamelen ervan (is dat wel echt, echt, echt nodig?), maar ook met de organisatorische en technische beveiligingsmaatregelen: een kleinere kring van personen, die toegang heeft en een hoger technisch beschermingsniveau als bijzondere persoonsgegevens moeten worden verwerkt.

Iedere organisatie is verplicht een privacybeleid te hebben. Soms bestaat dat uit niet meer dan de boilerplate vermeldt op de website. Maar het meldingsformulier van de Autoriteit Persoonsgegevens vraagt specifiek of er sprake is van verwerking van bijzondere persoonsgegevens (met uitleg). Wanneer daar ooit ‘nee’ is ingevuld, moet de verantwoordelijke regelmatig evalueren of de aard van de verwerkte gegevens met verloop van tijd niet wijzigt, niet wordt uitgebreid of door technische innovaties (bijvoorbeeld: koppeling met andere gegevensbestanden of het beschikbaar komen van voorspellingssoftware met betrekking tot dergelijke gegevens) wezenlijk anders wordt. Vanaf 25 mei 2018 wordt dit iets anders: de meldingsplicht vervalt, maar in de registratie van de verantwoordelijke en de bewerkers moet wel degelijk terug te vinden zijn welke aard de persoonsgegevens hebben en of deze ook ‘bijzondere persoonsgegevens’ omvatten. En als een organisatie geen functionaris voor de gegevensverwerking (privacy-officer) heeft, is het ten zeerste de vraag wie dit dan wel gaat bijhouden.

Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.