AVG: Wat zijn de categorieën van persoonsgegevens?
Volgens de AVG zijn er 3 verschillende categorieën van persoonsgegevens en een organisatie mag slechts één categorie van persoonsgegevens verwerken. De invoering van dezelfde Europese privacywetgeving in de landen van de EU, heeft geleid tot de implementatie van de Algemene verordening gegevensbescherming (AVG) in het Nederlandse staatsbestel. Een gevolg is dat een organisatie alleen de persoonsgegevens van iemand mag verwerken indien een van de AVG-grondslagen van toepassing is en het tevens gaat om de verwerking van de soorten 'gewone' persoonsgegevens. Het is voor organisaties verboden om 'bijzondere' persoonsgegevens te verwerken. Ook het verwerken van 'strafrechtelijke' persoonsgegevens is verboden.
AVG: Wat zijn de categorieën van persoonsgegevens?
Wat zijn 'persoonsgegevens' volgens de AVG?
Persoonsgegevens zijn alle gegevens die:
- betrekking hebben op de identiteit van een persoon, en;
- de gegevens waarmee de identiteit van een persoon kan worden herleid.
Soorten of categorieën van persoonsgegevens
Vanzelfsprekend mag een organisatie niet álle gegevens over een persoon verwerken. Hierom onderscheidt de AVG drie verschillende categorieën van persoonsgegevens. Elke categorie van persoonsgegevens heeft andere grondslagen die een organisatie nodig heeft om persoonsgegevens te mogen verwerken. Slechts uit één categorie van persoonsgegevens: de soorten
'gewone persoonsgegevens', mag een organisatie persoonsgegevens verwerken. Daarbij komt dat dit alleen mag indien er (minimaal) één van de
AVG-grondslagen van toepassing is. Gegevens die behoren tot een van de andere categorieën van persoonsgegevens, de soorten 'bijzondere persoonsgegevens' en de soorten 'strafrechtelijke persoonsgegevens', zijn voor een organisatie behoudens een uitzondering
verboden om te verwerken. De reden hiervoor is dat een van de doelen van de AVG strekt tot het beschermen van de
privacyrechten van personen uit de EU.
De
AVG maakt een onderscheid in
3 categorieën van persoonsgegevens:
- gewone persoonsgegevens
- bijzondere persoonsgegevens
- strafrechtelijke persoonsgegevens
Gewone persoonsgegevens
Bron: Geralt, Pixabay
De eerste categorie van persoonsgegevens zijn de soorten '
gewone persoonsgegevens'. De gewone persoonsgegevens zijn de
enige gegevens die een organisatie mag verwerken indien hier een
grondslag voor bestaat in de AVG. Met andere woorden: een organisatie mag alleen persoonsgegevens van iemand verwerken als deze behoren tot de categorie van 'gewone persoonsgegevens' en hiervoor een van de
6 grondslagen van de AVG van toepassing is.
Voorbeelden van gewone persoonsgegevens
Voorbeelden van
'gewone persoonsgegevens' van een persoon zijn de gegevens over iemands:
- naam
- adres
- woonplaats
- geboortedatum
- e-mailadres
- telefoonnummer
Bijzondere persoonsgegevens
Bron: Geralt, Pixabay
Gegevens die over persoonsgevoelige informatie gaan behoren tot de categorie
'bijzondere persoonsgegevens' en zijn in het algemeen
verboden voor organisaties om te verwerken. De AVG beschrijft in artikel 9 hoe de verwerking van bijzondere persoonsgegevens dient plaats te vinden. Voorbeelden van bijzondere persoonsgegevens zijn de genetische gegevens van een persoon, of informatie over iemands religieuze en politieke voorkeuren. Ook gegevens over iemands gezondheid, iemands medische gegevens, zijn soorten bijzondere persoonsgegevens. Een organisatie mag niet zomaar bijzondere persoonsgegevens verwerken; omdat het om
zeer persoonsgevoelige informatie gaat, is een doel van de AVG om de verwerking van bijzondere persoonsgegevens extra bescherming te bieden. Er zijn een aantal uitzonderingen waar het een organisatie wél is toegestaan om bijzondere persoonsgegevens te verwerken. Dit is bijvoorbeeld het geval als een persoon zelf aan de organisatie uitdrukkelijk
toestemming geeft om zijn/haar bijzondere persoonsgegevens te verwerken. Een ander voorbeeld is wanneer er sprake is van een
zwaarwegend geneeskundig belang. In alle gevallen mag de verwerking van bijzondere persoonsgegevens niet in strijd zijn met bepalingen uit het Unierecht of lidstatelijk recht.
Voorbeelden van bijzondere persoonsgegevens
Voorbeelden van
'bijzondere persoonsgegevens' van een persoon zijn gegevens over iemands:
- ras of etnische afkomst
- politieke opvattingen
- religieuze overtuigingen
- levensbeschouwelijke overtuigingen
- lidmaatschap van een vakbond
- gezondheid (medische gegevens)
- seksuele voorkeur
- seksueel gedrag
- genetische gegevens
- biometrie met het oog op unieke identificatie
Strafrechtelijke persoonsgegevens
Bron: Memed Nurrohmad, Pixabay
De derde categorie persoonsgegevens zijn de
'strafrechtelijke persoonsgegevens' over een persoon. Dit zijn de soorten gegevens die informatie geven over het
strafrechtelijk verleden van een persoon. De AVG beschrijft in artikel 10 hoe de verwerking van strafrechtelijke persoonsgegevens dient plaats te vinden. Net als de verwerking van 'bijzondere persoonsgegevens', is de verwerking van 'strafrechtelijke persoonsgegevens'
verboden. Hierop bestaan een aantal uitzonderingen, zoals wanneer dit plaatsvindt onder toezicht van de overheid en de verwerking is toegestaan volgens de bepalingen uit het Unierecht of lidstatelijk recht. De AVG hanteert het verbod op het gebied van de verwerking van strafrechtelijke persoonsgegevens veel strenger dan het verbod op het gebied van de verwerking van bijzondere persoonsgegevens, waardoor strafrechtelijke persoonsgegevens een aparte categorie vormen.
Voorbeelden van strafrechtelijke persoonsgegevens
Voorbeelden van
'strafrechtelijke persoonsgegevens' van een persoon zijn gegevens over iemands:
- strafrechtelijke veroordelingen;
- strafrechtelijke feiten waarvan de persoon wordt verdacht;
- veiligheidsmaatregelen (door de rechter opgelegd) omtrent strafrechtelijke feiten of veroordelingen van de persoon;
- verbod (door de rechter opgelegd) door hinderlijk of onrechtmatig gedrag van de persoon.
Verbod op verwerken 'bijzondere' en 'strafrechtelijke' persoonsgegevens
Het is (meestal) verboden voor een organisatie om persoonsgegevens te verwerken die behoren tot de categorieën of soorten persoonsgegevens uit de
bijzondere persoonsgegevens of de
strafrechtelijke persoonsgegevens. Indien een organisatie alsnog overgaat tot het verwerken van gegevens uit een van de categorieën bijzondere persoonsgegevens of strafrechtelijke persoonsgegevens, dan kan deze een boete opgelegd krijgen door de
autoriteit persoonsgegevens (AP).
Verantwoordingsplicht van organisaties
De 'verantwoordelijke organisatie' dient verantwoording af te leggen aan de Europese privacy-toezichthouder over de wijze van persoonsgegevensverwerking in verband met de zogenaamde
'verantwoordingsplicht' van organisaties. Indien een organisatie persoonsgegevens niet volgens de wijze van de AVG verwerkt, dan kan de organisatie een boete opgelegd krijgen die kan oplopen tot in de miljoenen euro's. Alleen als er sprake is van een uitzonderingsgeval: dat betekent dat een organisatie een beroep kan doen op een specifieke uitzondering die in een wet is vastgelegd, mag een organisatie gegevens verwerken die behoren tot de bijzondere persoonsgegevens of strafrechtelijke persoonsgegevens.
Lees verder