InfoNu.nl > Mens en Samenleving > Regelingen > AVG: Wat zijn de categorieën van persoonsgegevens?

AVG: Wat zijn de categorieën van persoonsgegevens?

AVG: Wat zijn de categorieën van persoonsgegevens? De invoering van dezelfde Europese privacywetgeving op 25 mei 2018 in de landen van de EU heeft geleid tot de implementatie van de Algemene verordening gegevensbescherming (AVG) in het Nederlandse staatsbestel. Dit betekent dat een organisatie alleen de persoonsgegevens van iemand mag verwerken indien een van de zes AVG-grondslagen van toepassing is en het gaat om de verwerking van 'gewone persoonsgegevens'. Er bestaan drie verschillende categorieën van persoonsgegevens en een organisatie mag slechts één categorie van persoonsgegevens verwerken. Dit betekent dat een organisatie op grond van de AVG niet is toegestaan gegevens te verwerken die informatie bevatten over iemands religie, strafrechtelijk verleden of etniciteit.

Persoonsgegevens


Welke gegevens vallen onder 'persoonsgegevens' volgens de AVG?

Persoonsgegevens zijn alle gegevens die betrekking hebben op de identiteit van een persoon, of de gegevens waarmee de identiteit van een persoon kan worden herleid. Indien een organisatie de persoonsgegevens van iemand wil gaan verwerken, dan is dit alleen toegestaan indien er sprake is van minimaal een van de AVG-grondslagen voor persoonsgegevensverwerking. Daarbij mag een organisatie niet álle persoonsgegevens van iemand verwerken, maar een organisatie mag slechts één van de soorten persoonsgegevens verwerken: de persoonsgegevens die behoren tot de categorie van 'gewone persoonsgegevens'. Gegevens die behoren tot een van de andere categorieën van persoonsgegevens, zijn voor een organisatie behoudens een uitzondering verboden om te verwerken, omdat een van de doelen van de AVG strekt tot het beschermen van het 'privacyrechten van personen' uit de EU.

Categorieën van persoonsgegevens

Vanzelfsprekend mag een organisatie niet álle gegevens over een persoon gaan verwerken. Hierom zijn er verschillende categorieën van persoonsgegevens te onderscheiden waarvan elk andere grondslagen kent die nodig zijn voor een organisatie om persoonsgegevens te mogen verwerken. Slechts uit één categorie van persoonsgegevens: de 'gewone persoonsgegevens' mag een organisatie, indien er een van 6 AVG-grondslagen van toepassing is, persoonsgegevens verwerken.

De AVG maakt een onderscheid in 3 categorieën van persoonsgegevens:
  1. Gewone persoonsgegevens
  2. Bijzondere persoonsgegevens
  3. Strafrechtelijke persoonsgegevens

Gewone persoonsgegevens

De eerste categorie van persoonsgegevens betreft de 'gewone persoonsgegevens', en zijn de enige gegevens die een organisatie mag verwerken indien hier een grondslag voor bestaat in de AVG. Met andere woorden: een organisatie mag alleen persoonsgegevens van iemand verwerken als deze behoren tot de categorie van 'gewone persoonsgegevens'. Voor de verwerking van deze persoonsgegevens dient er altijd een van de 6 grondslagen van de AVG van toepassing te zijn.

Voorbeelden van gewone persoonsgegevens

Tot de 'gewone persoonsgegevens' van een persoon behoren, bijvoorbeeld de gegevens over diens:
  • Naam
  • Adres
  • Woonplaats
  • Geboortedatum
  • E-mailadres
  • Telefoonnummer

Bijzondere persoonsgegevens

Gegevens die over persoonsgevoelige informatie gaan, behoren tot de categorie 'bijzondere persoonsgegevens' en zijn in het algemeen verboden voor organisaties om te verwerken. Voorbeelden hiervan zijn de genetische of biometrische gegevens van een persoon, of informatie over de religieuze en politieke voorkeuren van een persoon. Een organisatie mag niet zomaar bijzondere persoonsgegevens verwerken; omdat het om persoonsgevoelige informatie gaat, is een doel van de AVG om de verwerking van dit type persoonsgegevens extra bescherming te bieden. Er zijn een aantal uitzonderingen waar het een organisatie wél is toegestaan om bijzondere persoonsgegevens te verwerken. Dit is bijvoorbeeld het geval als een persoon zelf aan de organisatie uitdrukkelijk toestemming geeft om zijn/haar bijzondere persoonsgegevens te verwerken. Een ander voorbeeld is wanneer er sprake is van een zwaarwegend geneeskundig belang.

Voorbeelden van bijzondere persoonsgegevens

Tot de 'bijzondere persoonsgegevens' van een persoon behoren gegevens over zijn/haar:
  • Etnische afkomst
  • Politieke opvattingen
  • Religieuze of levensbeschouwelijke overtuigingen
  • Lidmaatschap van een vakbond
  • Gezondheid
  • Seksuele voorkeur of seksueel gedrag
  • Biometrie met het oog op unieke identificatie
  • Genetisch profiel met het oog op unieke identificatie

Strafrechtelijke persoonsgegevens

De derde categorie persoonsgegevens zijn de 'strafrechtelijke persoonsgegevens' over een persoon. Dit zijn gegevens die informatie geven over het strafrechtelijk verleden van een persoon. Net als de verwerking van 'bijzondere persoonsgegevens', is de verwerking van 'strafrechtelijke persoonsgegevens' verboden. Hierop bestaan een aantal uitzonderingen, zoals wanneer een persoon zélf uitdrukkelijk toestemming geeft voor de verwerking van zijn/haar strafrechtelijke persoonsgegevens of indien er sprake is van een zwaarwegend algemeen belang.

Voorbeelden van strafrechtelijke persoonsgegevens

Tot de categorie van 'strafrechtelijke persoonsgegevens' van een persoon behoren gegevens over zijn/haar:
  • Strafrechtelijke veroordelingen
  • Strafrechtelijke feiten waarvan de persoon wordt verdacht
  • Veiligheidsmaatregelen (door de rechter opgelegd) omtrent strafrechtelijke feiten of veroordelingen van de persoon
  • Verbod (door de rechter opgelegd) door hinderlijk of onrechtmatig gedrag van de persoon

Verbod op verwerken 'bijzondere' en 'strafrechtelijke' persoonsgegevens

Het is (meestal) verboden voor een organisatie om gegevens van personen te verwerken die behoren tot de categorie 'bijzondere persoonsgegevens' of tot de categorie 'strafrechtelijke persoonsgegevens'. Indien een organisatie alsnog deze gegevens van een persoon verwerkt, dan kan deze een boete opgelegd krijgen door de Autoriteit Persoonsgegevens (AP). De 'verantwoordelijke organisatie' dient verantwoording af te leggen aan de Europese privacy-toezichthouder over de wijze van persoonsgegevensverwerking in verband met de zogenaamde 'verantwoordingsplicht' van organisaties. Indien een organisatie persoonsgegevens niet volgens de wijze van de AVG verwerkt, dan kan de organisatie een boete opgelegd krijgen die kan oplopen tot in de miljoenen euro's. Alleen als er sprake is van een uitzonderingsgeval: dat betekent dat een organisatie een beroep kan doen op een specifieke uitzondering die in een wet is vastgelegd. Daarnaast, als een aanvullende voorwaarde, dient een organisatie zich te beroepen op een van de 6 AVG-grondslagen.

Lees verder

© 2018 - 2019 Aucourant, het auteursrecht (tenzij anders vermeld) van dit artikel ligt bij de infoteur. Zonder toestemming van de infoteur is vermenigvuldiging verboden.
Gerelateerde artikelen
Persoonsgegevens: Je rechten bij veranderen en afschermenPersoonsgegevens: Je rechten bij veranderen en afschermenDe Wet bescherming persoonsgegevens is ingevoerd om de privacy van mensen te beschermen. In mei 2018 werden die wetten e…
Clean desk en Clear screen policyClear desk en clear screen. Letterlijk betekenen deze woorden schoon bureau en schoon scherm. Clear desk en clear screen…
Organisatiemodellen van MintzbergOrganisatiemodellen van MintzbergDe Canadese auteur Henry Mintzberg heet vijf organisatiemodellen gepresenteerd. Later werden daar twee aan toegevoegd, z…
Soorten spaarrekeningenSoorten spaarrekeningenAls consument kan het lastig zijn om een keuze te maken uit de verschillende soorten spaarrekeningen. Een internetspaarr…
Kritische succesfactoren (CSF, KSF)Kritische succesfactoren (CSF, KSF)Een kritische succesfactor of succesfactoren zijn aanwezig in elke organisatie, dit zijn de belangrijkste factoren van e…
Bronnen en referenties
  • Inleidingsfoto: Geralt, Pixabay
  • Algemene verordening gegevensbescherming, artikel 9 lid 1, van https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf.
  • Autoriteit Persoonsgegevens, AVG - Europese privacywetgeving, van https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/mag-u-persoonsgegevens-verwerken.
  • Justitia, Persoonsgegevens, van https://www.justitia.nl/privacy/persoonsgegevens.html.
  • Uitvoeringswet Algemene verordening gegevensbescherming, artikel 17, https://wetten.overheid.nl/BWBR0040940/2018-05-25#Hoofdstuk3.

Reageer op het artikel "AVG: Wat zijn de categorieën van persoonsgegevens?"

Plaats als eerste een reactie, vraag of opmerking bij dit artikel. Reacties moeten voldoen aan de huisregels van InfoNu.
Meld mij aan voor de tweewekelijkse InfoNu nieuwsbrief
Ik ga akkoord met de privacyverklaring en ben bekend met de inhoud hiervan
Infoteur: Aucourant
Laatste update: 13-06-2019
Rubriek: Mens en Samenleving
Subrubriek: Regelingen
Special: AVG
Bronnen en referenties: 5
Schrijf mee!