Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & Privacy

Grondslagendiscussie II (bijzondere persoonsgegevens)

Natascha van Duuren

1 mei 2017 - 3 minuten leestijd

Alle persoonsgegevens zijn heilig, maar sommige zijn heiliger dan andere. In de praktijk blijkt dat verantwoordelijken zich lang niet altijd goed realiseren, dat zij denken door een melding bij de Autoriteit Persoonsgegevens beschermd te zijn tegen vervolging door die Autoriteit, terwijl zij in werkelijkheid een grondslag nodig hebben, omdat zij (niet goed bewust van de wettelijke regeling) ‘bijzondere persoonsgegevens’ (laten) verwerken. In artikelen 16 Wbp en artikelen 9 en 10 AVG worden bijzondere persoonsgegevens gedefinieerd. De betrokkene geniet ‘extra’ bescherming. De keerzijde van de medaille is dat de verantwoordelijke – en ook alle be- en verwerkers – extra verantwoordelijkheden (en daarmee corresponderende aansprakelijkheden) hebben.

Nu lijkt het vanzelfsprekend, dat met deze gegevens veel zorgvuldiger wordt omgegaan, maar de grenzen zijn snel overschreden. Wanneer een (professionele- of amateur-) sportclub een ledenvolgsysteem heeft (om prestaties te optimaliseren c.q. talent sneller en beter te kunnen ontwikkelen), zullen notities betreffende blessures en deelname aan vastenperiodes onder de verzwaarde categorie vallen. Hetzelfde geldt voor een online ‘smoelenboek’, waar iemands ras of herkomst of levensovertuiging wellicht uit foto’s kan worden afgeleid. Maar ook een contactverbod opgelegd aan een familielid of een derde valt hieronder.

Bijzondere persoonsgegevens …

Het gaat volgens de Wbp om gegevens betreffende ‘godsdienst of levensovertuiging’, ‘ras’, ‘politieke gezindheid’, ‘gezondheid’, ‘seksuele leven’ en gegevens betreffende het ‘lidmaatschap van een vakvereniging’. Daarnaast worden ook strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dag gedrag (bijvoorbeeld een straat- of contactverbod) onder eenzelfde, zware beschermingsregime geschaard.

In iets andere bewoordingen bepaalt artikel 9 AVG hetzelfde. De AVG noemt wel specifiek genetische en biometrische gegevens en lijkt wat dat betreft meer up-to-date. Voor wat betreft het BSN of gegevens betreffende straat- of contactverboden kent de AVG geen specifieke regeling. Maar dat zal door de Nederlandse wetgever worden geregeld. Het is nog de vraag in hoeverre artikel 10 AVG (“strafrechtelijke veroordelingen en feiten of daarmee verband houdende veiligheidsmaatregelen”) straat- en contactverboden bestrijkt, want mogelijk zijn er straat- of contactverboden die geen verband (lijken te) houden met strafrechtelijke veroordelingen of strafrechtelijke feiten.

Bijzondere bescherming …

Het verzwaarde beschermingsregime behelst een algemeen verbod tot verwerking van bijzondere persoonsgegevens, met een beperkter aantal wettelijke grondslagen. Deze wettelijke grondslag is vereist naast de ‘algemene’ grondslag voor het verwerken van persoonsgegevens, die voor álle persoonsgegevens geldt. Een eenvoudige belangenafweging door de verantwoordelijke kan de verwerking van bijzondere persoonsgegevens niet dragen. Die grondslagen voor verwerking zijn bovendien veel specifieker omschreven.

Burgerservicenummers kennen ingevolge artikel 24 Wbp een eigen regime: alleen (doeleinden die bij) de wet of een algemene maatregel van bestuur kan de verwerking van het BSN rechtvaardigen. Toestemming van de betrokkene kan op zich dus de verwerking van het BSN dragen.

Maar de bijzondere bescherming vertaalt zich ook in de afweging van wat nu precies een ‘passend beveiligingsniveau‘ is. De aard van de gegevens moet daarin namelijk worden meegewogen. En wanneer het bijzondere gegevens betreft, moet u veel voorzichtiger zijn met het verzamelen ervan (is dat wel echt, echt, echt nodig?), maar ook met de organisatorische en technische beveiligingsmaatregelen: een kleinere kring van personen, die toegang heeft en een hoger technisch beschermingsniveau als bijzondere persoonsgegevens moeten worden verwerkt.

Beleid en aanpassing

Iedere organisatie is verplicht een privacybeleid te hebben. Soms bestaat dat uit niet meer dan de boilerplate vermeldt op de website. Maar het meldingsformulier van de Autoriteit Persoonsgegevens vraagt specifiek of er sprake is van verwerking van bijzondere persoonsgegevens (met uitleg). Wanneer daar ooit ‘nee’ is ingevuld, moet de verantwoordelijke regelmatig evalueren of de aard van de verwerkte gegevens met verloop van tijd niet wijzigt, niet wordt uitgebreid of door technische innovaties (bijvoorbeeld: koppeling met andere gegevensbestanden of het beschikbaar komen van voorspellingssoftware met betrekking tot dergelijke gegevens) wezenlijk anders wordt. Vanaf 25 mei 2018 wordt dit iets anders: de meldingsplicht vervalt, maar in de registratie van de verantwoordelijke en de bewerkers moet wel degelijk terug te vinden zijn welke aard de persoonsgegevens hebben en of deze ook ‘bijzondere persoonsgegevens’ omvatten. En als een organisatie geen functionaris voor de gegevensverwerking (privacy-officer) heeft, is het ten zeerste de vraag wie dit dan wel gaat bijhouden.

Robert-Jan van der Wart, advocaat en partner IT, IE & Privacy

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?