AVG: Wat zijn de categorieën van persoonsgegevens?

AVG: Wat zijn de categorieën van persoonsgegevens? Volgens de AVG zijn er 3 verschillende categorieën van persoonsgegevens en een organisatie mag slechts één categorie van persoonsgegevens verwerken. De invoering van dezelfde Europese privacywetgeving in de landen van de EU, heeft geleid tot de implementatie van de Algemene verordening gegevensbescherming (AVG) in het Nederlandse staatsbestel. Een gevolg is dat een organisatie alleen de persoonsgegevens van iemand mag verwerken indien een van de AVG-grondslagen van toepassing is en het tevens gaat om de verwerking van de soorten 'gewone' persoonsgegevens. Het is voor organisaties verboden om 'bijzondere' persoonsgegevens te verwerken. Ook het verwerken van 'strafrechtelijke' persoonsgegevens is verboden.

AVG: Wat zijn de categorieën van persoonsgegevens?


Wat zijn 'persoonsgegevens' volgens de AVG?

Persoonsgegevens zijn alle gegevens die:
  • betrekking hebben op de identiteit van een persoon, en;
  • de gegevens waarmee de identiteit van een persoon kan worden herleid.

Soorten of categorieën van persoonsgegevens

Vanzelfsprekend mag een organisatie niet álle gegevens over een persoon verwerken. Hierom onderscheidt de AVG drie verschillende categorieën van persoonsgegevens. Elke categorie van persoonsgegevens heeft andere grondslagen die een organisatie nodig heeft om persoonsgegevens te mogen verwerken. Slechts uit één categorie van persoonsgegevens: de soorten 'gewone persoonsgegevens', mag een organisatie persoonsgegevens verwerken. Daarbij komt dat dit alleen mag indien er (minimaal) één van de AVG-grondslagen van toepassing is. Gegevens die behoren tot een van de andere categorieën van persoonsgegevens, de soorten 'bijzondere persoonsgegevens' en de soorten 'strafrechtelijke persoonsgegevens', zijn voor een organisatie behoudens een uitzondering verboden om te verwerken. De reden hiervoor is dat een van de doelen van de AVG strekt tot het beschermen van de privacyrechten van personen uit de EU.

De AVG maakt een onderscheid in 3 categorieën van persoonsgegevens:
  1. gewone persoonsgegevens
  2. bijzondere persoonsgegevens
  3. strafrechtelijke persoonsgegevens

Gewone persoonsgegevens

Bron: Geralt, PixabayBron: Geralt, Pixabay
De eerste categorie van persoonsgegevens zijn de soorten 'gewone persoonsgegevens'. De gewone persoonsgegevens zijn de enige gegevens die een organisatie mag verwerken indien hier een grondslag voor bestaat in de AVG. Met andere woorden: een organisatie mag alleen persoonsgegevens van iemand verwerken als deze behoren tot de categorie van 'gewone persoonsgegevens' en hiervoor een van de 6 grondslagen van de AVG van toepassing is.

Voorbeelden van gewone persoonsgegevens

Voorbeelden van 'gewone persoonsgegevens' van een persoon zijn de gegevens over iemands:
  • naam
  • adres
  • woonplaats
  • geboortedatum
  • e-mailadres
  • telefoonnummer

Bijzondere persoonsgegevens

Bron: Geralt, PixabayBron: Geralt, Pixabay
Gegevens die over persoonsgevoelige informatie gaan behoren tot de categorie 'bijzondere persoonsgegevens' en zijn in het algemeen verboden voor organisaties om te verwerken. De AVG beschrijft in artikel 9 hoe de verwerking van bijzondere persoonsgegevens dient plaats te vinden. Voorbeelden van bijzondere persoonsgegevens zijn de genetische gegevens van een persoon, of informatie over iemands religieuze en politieke voorkeuren. Ook gegevens over iemands gezondheid, iemands medische gegevens, zijn soorten bijzondere persoonsgegevens. Een organisatie mag niet zomaar bijzondere persoonsgegevens verwerken; omdat het om zeer persoonsgevoelige informatie gaat, is een doel van de AVG om de verwerking van bijzondere persoonsgegevens extra bescherming te bieden. Er zijn een aantal uitzonderingen waar het een organisatie wél is toegestaan om bijzondere persoonsgegevens te verwerken. Dit is bijvoorbeeld het geval als een persoon zelf aan de organisatie uitdrukkelijk toestemming geeft om zijn/haar bijzondere persoonsgegevens te verwerken. Een ander voorbeeld is wanneer er sprake is van een zwaarwegend geneeskundig belang. In alle gevallen mag de verwerking van bijzondere persoonsgegevens niet in strijd zijn met bepalingen uit het Unierecht of lidstatelijk recht.

Voorbeelden van bijzondere persoonsgegevens

Voorbeelden van 'bijzondere persoonsgegevens' van een persoon zijn gegevens over iemands:
  • ras of etnische afkomst
  • politieke opvattingen
  • religieuze overtuigingen
  • levensbeschouwelijke overtuigingen
  • lidmaatschap van een vakbond
  • gezondheid (medische gegevens)
  • seksuele voorkeur
  • seksueel gedrag
  • genetische gegevens
  • biometrie met het oog op unieke identificatie

Strafrechtelijke persoonsgegevens

Bron: Memed Nurrohmad, PixabayBron: Memed Nurrohmad, Pixabay
De derde categorie persoonsgegevens zijn de 'strafrechtelijke persoonsgegevens' over een persoon. Dit zijn de soorten gegevens die informatie geven over het strafrechtelijk verleden van een persoon. De AVG beschrijft in artikel 10 hoe de verwerking van strafrechtelijke persoonsgegevens dient plaats te vinden. Net als de verwerking van 'bijzondere persoonsgegevens', is de verwerking van 'strafrechtelijke persoonsgegevens' verboden. Hierop bestaan een aantal uitzonderingen, zoals wanneer dit plaatsvindt onder toezicht van de overheid en de verwerking is toegestaan volgens de bepalingen uit het Unierecht of lidstatelijk recht. De AVG hanteert het verbod op het gebied van de verwerking van strafrechtelijke persoonsgegevens veel strenger dan het verbod op het gebied van de verwerking van bijzondere persoonsgegevens, waardoor strafrechtelijke persoonsgegevens een aparte categorie vormen.

Voorbeelden van strafrechtelijke persoonsgegevens

Voorbeelden van 'strafrechtelijke persoonsgegevens' van een persoon zijn gegevens over iemands:
  • strafrechtelijke veroordelingen;
  • strafrechtelijke feiten waarvan de persoon wordt verdacht;
  • veiligheidsmaatregelen (door de rechter opgelegd) omtrent strafrechtelijke feiten of veroordelingen van de persoon;
  • verbod (door de rechter opgelegd) door hinderlijk of onrechtmatig gedrag van de persoon.

Verbod op verwerken 'bijzondere' en 'strafrechtelijke' persoonsgegevens

Het is (meestal) verboden voor een organisatie om persoonsgegevens te verwerken die behoren tot de categorieën of soorten persoonsgegevens uit de bijzondere persoonsgegevens of de strafrechtelijke persoonsgegevens. Indien een organisatie alsnog overgaat tot het verwerken van gegevens uit een van de categorieën bijzondere persoonsgegevens of strafrechtelijke persoonsgegevens, dan kan deze een boete opgelegd krijgen door de autoriteit persoonsgegevens (AP).

Verantwoordingsplicht van organisaties

De 'verantwoordelijke organisatie' dient verantwoording af te leggen aan de Europese privacy-toezichthouder over de wijze van persoonsgegevensverwerking in verband met de zogenaamde 'verantwoordingsplicht' van organisaties. Indien een organisatie persoonsgegevens niet volgens de wijze van de AVG verwerkt, dan kan de organisatie een boete opgelegd krijgen die kan oplopen tot in de miljoenen euro's. Alleen als er sprake is van een uitzonderingsgeval: dat betekent dat een organisatie een beroep kan doen op een specifieke uitzondering die in een wet is vastgelegd, mag een organisatie gegevens verwerken die behoren tot de bijzondere persoonsgegevens of strafrechtelijke persoonsgegevens.

Lees verder

© 2018 - 2021 Aucourant, het auteursrecht van dit artikel ligt bij de infoteur. Zonder toestemming is vermenigvuldiging verboden. Per 2021 gaat InfoNu verder als archief, artikelen worden nog maar beperkt geactualiseerd.
Gerelateerde artikelen
Persoonsgegevens: Je rechten bij veranderen en afschermenPersoonsgegevens: Je rechten bij veranderen en afschermenDe Wet bescherming persoonsgegevens is ingevoerd om de privacy van mensen te beschermen. In mei 2018 werden die wetten e…
Datalek; wat is het en wanneer moet je het melden?Datalek; wat is het en wanneer moet je het melden?Sinds 1 januari 2016 bestaat de verplichting om een datalek te melden. De melding moet onverwijld worden gedaan zodra ee…
AVG: Wat is de betekenis van de verantwoordingsplicht?AVG: Wat is de betekenis van de verantwoordingsplicht?Met de invoering van de Algemene verordening gegevensbescherming (AVG) bestaat voor organisaties een grotere verantwoord…
Voorkom identiteitsfraude met de KopieID appVoorkom identiteitsfraude met de KopieID appSteeds meer mensen worden het slachtoffer van identiteitsfraude. Dit komt omdat mensen te goed van vertrouwen zijn en ni…

Waarom bestaat de Nederlandse wet?Waarom bestaat de Nederlandse wet?Volgens de 'klassiek-liberale rechtsstaat' heeft de Nederlandse wet 3 functies. Een van deze functies is het voorkomen d…
Wat zijn de kenmerken van een rechtsstaat?Wat zijn de kenmerken van een rechtsstaat?Een rechtsstaat is een staat waar er grenzen worden gesteld aan de uitoefening van staatsmacht. Deze grenzen worden gest…
Bronnen en referenties
  • Inleidingsfoto: Geralt, Pixabay
  • Algemene verordening gegevensbescherming, artikel 9
  • Algemene verordening gegevensbescherming, artikel 10
  • Justitia, Persoonsgegevens.
  • Uitvoeringswet Algemene verordening gegevensbescherming, artikel 17.
  • Afbeelding bron 1: Geralt, Pixabay
  • Afbeelding bron 2: Geralt, Pixabay
  • Afbeelding bron 3: Memed Nurrohmad, Pixabay
Aucourant (22 artikelen)
Laatste update: 04-11-2020
Rubriek: Mens en Samenleving
Subrubriek: Diversen
Bronnen en referenties: 8
Per 2021 gaat InfoNu verder als archief. Het grote aanbod van artikelen blijft beschikbaar maar er worden geen nieuwe artikelen meer gepubliceerd en nog maar beperkt geactualiseerd, daardoor kunnen artikelen op bepaalde punten verouderd zijn. Reacties plaatsen bij artikelen is niet meer mogelijk.