AVG: Wat zijn de categorieën van persoonsgegevens?

AVG: Wat zijn de categorieën van persoonsgegevens? Er bestaan 3 verschillende categorieën van persoonsgegevens en een organisatie mag slechts één categorie van persoonsgegevens verwerken. De invoering van dezelfde Europese privacywetgeving in de landen van de EU, heeft geleid tot de implementatie van de Algemene verordening gegevensbescherming (AVG) in het Nederlandse staatsbestel. Een gevolg is dat een organisatie alleen de persoonsgegevens van iemand mag verwerken indien een van de AVG-grondslagen van toepassing is en het tevens gaat om de verwerking van de soorten 'gewone' persoonsgegevens. Het is voor organisaties verboden om 'bijzondere' persoonsgegevens te verwerken. Ook het verwerken van 'strafrechtelijke' persoonsgegevens is verboden. Voorbeelden van bijzondere persoonsgegevens zijn gegevens die informatie bevatten over iemands religie, politieke opvattingen, gezondheid of etniciteit. Daarnaast zijn niet alle soorten gegevens van een persoon ook daadwerkelijk persoonsgegevens.

AVG: Wat zijn de categorieën van persoonsgegevens?


Wat zijn 'persoonsgegevens' volgens de AVG?

Persoonsgegevens zijn alle gegevens die:
  • betrekking hebben op de identiteit van een persoon, en;
  • de gegevens waarmee de identiteit van een persoon kan worden herleid.

Categorieën van (soorten) persoonsgegevens

Vanzelfsprekend mag een organisatie niet álle gegevens over een persoon gaan verwerken. Hierom onderscheidt de AVG drie verschillende categorieën van persoonsgegevens. Elke categorie van persoonsgegevens heeft andere grondslagen die een organisatie nodig heeft om persoonsgegevens te mogen verwerken. Slechts uit één categorie van persoonsgegevens: de soorten 'gewone persoonsgegevens', mag een organisatie persoonsgegevens verwerken. Daarbij komt dat dit alleen mag indien er (minimaal) één van AVG-grondslagen van toepassing is. Gegevens die behoren tot een van de andere categorieën van persoonsgegevens, de soorten 'bijzondere persoonsgegevens' en de soorten 'strafrechtelijke persoonsgegevens', zijn voor een organisaties behoudens een uitzondering verboden om te verwerken. De reden hiervoor is dat een van de doelen van de AVG strekt tot het beschermen van de privacyrechten van personen uit de EU.

De AVG maakt een onderscheid in 3 categorieën persoonsgegevens:
  1. gewone persoonsgegevens
  2. bijzondere persoonsgegevens
  3. strafrechtelijke persoonsgegevens

Gewone persoonsgegevens

De eerste categorie van persoonsgegevens zijn de soorten 'gewone persoonsgegevens'. De gewone persoonsgegevens zijn de enige gegevens die een organisatie mag verwerken indien hier een grondslag voor bestaat in de AVG. Met andere woorden: een organisatie mag alleen persoonsgegevens van iemand verwerken als deze behoren tot de categorie van 'gewone persoonsgegevens' en hiervoor een van de 6 grondslagen van de AVG van toepassing is.

Voorbeelden van gewone persoonsgegevens

De 'gewone persoonsgegevens' van een persoon zijn de gegevens over iemands:
  • naam
  • adres
  • woonplaats
  • geboortedatum
  • e-mailadres
  • telefoonnummer

Bijzondere persoonsgegevens

Gegevens die over persoonsgevoelige informatie gaan behoren tot de categorie 'bijzondere persoonsgegevens' en zijn in het algemeen verboden voor organisaties om te verwerken. De AVG beschrijft in artikel 9 hoe de verwerking van bijzondere persoonsgegevens dient plaats te vinden. Voorbeelden van bijzondere persoonsgegevens zijn de genetische gegevens van een persoon, of informatie over iemands religieuze en politieke voorkeuren. Ook gegevens over iemands gezondheid, iemands medische gegevens, zijn soorten bijzondere persoonsgegevens. Een organisatie mag niet zomaar bijzondere persoonsgegevens verwerken; omdat het om zeer persoonsgevoelige informatie gaat, is een doel van de AVG om de verwerking van bijzondere persoonsgegevens extra bescherming te bieden. Er zijn een aantal uitzonderingen waar het een organisatie wél is toegestaan om bijzondere persoonsgegevens te verwerken. Dit is bijvoorbeeld het geval als een persoon zelf aan de organisatie uitdrukkelijk toestemming geeft om zijn/haar bijzondere persoonsgegevens te verwerken. Een ander voorbeeld is wanneer er sprake is van een zwaarwegend geneeskundig belang. In alle gevallen mag de verwerking van bijzondere persoonsgegevens niet in strijd zijn met bepalingen uit het Unierecht of lidstatelijk recht.

Voorbeelden van bijzondere persoonsgegevens

De 'bijzondere persoonsgegevens' van een persoon zijn gegevens over iemands:
  • ras of etnische afkomst
  • politieke opvattingen
  • religieuze overtuigingen
  • levensbeschouwelijke overtuigingen
  • lidmaatschap van een vakbond
  • gezondheid (medische gegevens)
  • seksuele voorkeur
  • seksueel gedrag
  • genetische gegevens
  • biometrie met het oog op unieke identificatie

Strafrechtelijke persoonsgegevens

De derde categorie persoonsgegevens zijn de 'strafrechtelijke persoonsgegevens' over een persoon. Dit zijn de soorten gegevens die informatie geven over het strafrechtelijk verleden van een persoon. De AVG beschrijft in artikel 10 hoe de verwerking van strafrechtelijke persoonsgegevens dient plaats te vinden. Net als de verwerking van 'bijzondere persoonsgegevens', is de verwerking van 'strafrechtelijke persoonsgegevens' verboden. Hierop bestaan een aantal uitzonderingen, zoals wanneer dit plaatsvindt onder toezicht van de overheid en de verwerking is toegestaan volgens de bepalingen uit het Unierecht of lidstatelijk recht. De AVG hanteert het verbod op het gebied van de verwerking van strafrechtelijke persoonsgegevens veel strenger dan het verbod op het gebied van bijzondere persoonsgegevens, waardoor de soorten strafrechtelijke persoonsgegevens een aparte categorie vormen.

Voorbeelden van strafrechtelijke persoonsgegevens

De 'strafrechtelijke persoonsgegevens' van een persoon zijn gegevens over iemands:
  • strafrechtelijke veroordelingen;
  • strafrechtelijke feiten waarvan de persoon wordt verdacht;
  • veiligheidsmaatregelen (door de rechter opgelegd) omtrent strafrechtelijke feiten of veroordelingen van de persoon;
  • verbod (door de rechter opgelegd) door hinderlijk of onrechtmatig gedrag van de persoon.

Verbod op verwerken 'bijzondere' en 'strafrechtelijke' persoonsgegevens

Het is (meestal) verboden voor een organisatie om persoonsgegevens te verwerken die behoren tot de categorieën of soorten persoonsgegevens uit de bijzondere persoonsgegevens of de strafrechtelijke persoonsgegevens. Indien een organisatie alsnog overgaat tot het verwerken van gegevens uit een van de categorieën bijzondere persoonsgegevens of strafrechtelijke persoonsgegevens, dan kan deze een boete opgelegd krijgen door de autoriteit persoonsgegevens (AP).

Verantwoordingsplicht van organisaties

De 'verantwoordelijke organisatie' dient verantwoording af te leggen aan de Europese privacy-toezichthouder over de wijze van persoonsgegevensverwerking in verband met de zogenaamde 'verantwoordingsplicht' van organisaties. Indien een organisatie persoonsgegevens niet volgens de wijze van de AVG verwerkt, dan kan de organisatie een boete opgelegd krijgen die kan oplopen tot in de miljoenen euro's. Alleen als er sprake is van een uitzonderingsgeval: dat betekent dat een organisatie een beroep kan doen op een specifieke uitzondering die in een wet is vastgelegd, mag een organisatie gegevens verwerken die behoren tot de bijzondere persoonsgegevens of strafrechtelijke persoonsgegevens.

Lees verder

© 2018 - 2020 Aucourant, het auteursrecht (tenzij anders vermeld) van dit artikel ligt bij de infoteur. Zonder toestemming van de infoteur is vermenigvuldiging verboden.
Gerelateerde artikelen
Persoonsgegevens: Je rechten bij veranderen en afschermenPersoonsgegevens: Je rechten bij veranderen en afschermenDe Wet bescherming persoonsgegevens is ingevoerd om de privacy van mensen te beschermen. In mei 2018 werden die wetten e…
Datalek; wat is het en wanneer moet je het melden?Datalek; wat is het en wanneer moet je het melden?Sinds 1 januari 2016 bestaat de verplichting om een datalek te melden. De melding moet onverwijld worden gedaan zodra ee…
Persoonsgegevens en internet, privacybescherming op het webPersoonsgegevens en internet, privacybescherming op het webPersoonlijke gegevens en persoonsgegevens op het internet kunnen mensen jarenlang achtervolgen. Sterker nog, die gegeven…
Voorkom identiteitsfraude met de KopieID appVoorkom identiteitsfraude met de KopieID appSteeds meer mensen worden het slachtoffer van identiteitsfraude. Dit komt omdat mensen te goed van vertrouwen zijn en ni…

Waarom bestaat de Nederlandse wet?Waarom bestaat de Nederlandse wet?Volgens de 'klassiek-liberale rechtsstaat' heeft de Nederlandse wet 3 functies. Een van deze functies is het voorkomen d…
Wat zijn de kenmerken van een rechtsstaat?Wat zijn de kenmerken van een rechtsstaat?Een rechtsstaat is een staat waar er grenzen worden gesteld aan de uitoefening van staatsmacht. Deze grenzen worden gest…
Bronnen en referenties
  • Inleidingsfoto: Geralt, Pixabay
  • Algemene verordening gegevensbescherming, artikel 9 lid 1, van https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf.
  • Autoriteit Persoonsgegevens, AVG - Europese privacywetgeving, van https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/mag-u-persoonsgegevens-verwerken.
  • Justitia, Persoonsgegevens, van https://www.justitia.nl/privacy/persoonsgegevens.html.
  • Uitvoeringswet Algemene verordening gegevensbescherming, artikel 17, https://wetten.overheid.nl/BWBR0040940/2018-05-25#Hoofdstuk3.

Reageer op het artikel "AVG: Wat zijn de categorieën van persoonsgegevens?"

Plaats als eerste een reactie, vraag of opmerking bij dit artikel. Reacties moeten voldoen aan de huisregels van InfoNu.
Meld mij aan voor de tweewekelijkse InfoNu nieuwsbrief
Ik ga akkoord met de privacyverklaring en ben bekend met de inhoud hiervan
Infoteur: Aucourant
Laatste update: 25-10-2020
Rubriek: Mens en Samenleving
Subrubriek: Diversen
Special: AVG
Bronnen en referenties: 5
Schrijf mee!