InfoNu.nl > Mens en Samenleving > Regelingen > AVG: Welke persoonsgegevens mag een organisatie verwerken?

AVG: Welke persoonsgegevens mag een organisatie verwerken?

AVG: Welke persoonsgegevens mag een organisatie verwerken? De invoering van dezelfde Europese privacywetgeving op 25 mei 2018 in de landen van de EU heeft geleid tot de implementatie van de Algemene verordening gegevensbescherming (AVG) in het Nederlandse staatsbestel. Volgens de AVG mag een organisatie alleen de persoonsgegevens van iemand verwerken indien een van de AVG-grondslagen van toepassing is en het gaat om de verwerking van 'gewone persoonsgegevens'. Er bestaan 3 categorieën van persoonsgegevens en een organisatie mag alleen de gegevens uit één van deze categorieën verwerken: de 'gewone persoonsgegevens'. Een organisatie is mag géén gegevens verwerken die informatie bevatten over iemands religie of etniciteit. Evenmin is het voor een organisatie toegestaan om informatie met betrekking tot iemands strafrechtelijk verleden te verwerken.

De verwerking van persoonsgegevens


Welke gegevens vallen onder 'persoonsgegevens' volgens de AVG?

Persoonsgegevens zijn alle gegevens die betrekking hebben op de identiteit van een persoon, of de gegevens waarmee de identiteit van een persoon kan worden herleid. Indien een organisatie de persoonsgegevens van iemand wil gaan verwerken, dan is dit alleen toegestaan indien er sprake is van minimaal een van de AVG-grondslagen voor persoonsgegevensverwerking. Daarbij mag een organisatie niet álle persoonsgegevens van iemand verwerken, maar mag een organisatie alleen de persoonsgegevens van een persoon verwerken die behoren tot de categorie van 'gewone persoonsgegevens'. Gegevens die behoren tot een van de andere categorieën van persoonsgegevens, zijn voor een organisatie behoudens een uitzondering verboden om te verwerken, omdat een van de doelen van de AVG strekt tot het beschermen van het 'privacyrechten van personen' uit de EU.

De AVG onderscheidt 3 categorieën persoonsgegevens

Vanzelfsprekend mag een organisatie niet álle gegevens over een persoon gaan verwerken. Hierom zijn er verschillende categorieën van persoonsgegevens te onderscheiden waarvan elk andere grondslagen kent die nodig zijn voor een organisatie om persoonsgegevens te mogen verwerken. Slechts uit één categorie van persoonsgegevens: de 'gewone persoonsgegevens' mag een organisatie, indien er een van zes AVG-grondslagen van toepassing is, persoonsgegevens verwerken.

De AVG maakt een onderscheid tussen 3 categorieën van persoonsgegevens:
  1. Gewone persoonsgegevens
  2. Bijzondere persoonsgegevens
  3. Strafrechtelijke persoonsgegevens

Gewone persoonsgegevens

De eerste categorie van persoonsgegevens betreft de 'gewone persoonsgegevens', en zijn de gegevens die een organisatie mag verwerken indien hier een grondslag voor bestaat in de AVG. Een organisatie mag alleen de persoonsgegevens van iemand verwerken indien deze vallen onder de categorie 'gewone persoonsgegevens'. Bovendien dient voor de verwerking van deze persoonsgegevens door een organisatie, een van de zes grondslagen uit de AVG van toepassing te zijn.

Voorbeelden van gewone persoonsgegevens

Tot de gewone persoonsgegevens van een persoon behoren, bijvoorbeeld de gegevens over diens:
  • naam
  • adres
  • woonplaats
  • geboortedatum
  • e-mailadres
  • telefoonnummer

Bijzondere persoonsgegevens

Gegevens die over persoonsgevoelige informatie gaan, behoren tot de categorie 'bijzondere persoonsgegevens' en zijn in het algemeen verboden voor organisaties om te verwerken. Voorbeelden hiervan zijn de genetische of biometrische gegevens van een persoon, of informatie over de religieuze en politieke voorkeuren van een persoon. Een organisatie mag niet zomaar bijzondere persoonsgegevens verwerken; omdat het om persoonsgevoelige informatie gaat, is een doel van de AVG om de verwerking van dit type persoonsgegevens extra bescherming te bieden. Er zijn een aantal uitzonderingen waar het een organisatie wél is toegestaan om bijzondere persoonsgegevens te verwerken. Bijvoorbeeld wanneer een persoon de organisatie zélf uitdrukkelijk toestemming geeft om diens bijzondere persoonsgegevens te verwerken, of indien er sprake is van een zwaarwegend geneeskundig belang.

Voorbeelden van bijzondere persoonsgegevens

Tot de bijzondere persoonsgegevens van een persoon behoren gegevens over diens:
  • etnische afkomst
  • politieke opvattingen
  • religieuze of levensbeschouwelijke overtuigingen
  • lidmaatschap van een vakbond
  • gezondheid
  • seksuele voorkeur of seksueel gedrag
  • biometrie met het oog op unieke identificatie
  • genetisch profiel met het oog op unieke identificatie

Strafrechtelijke persoonsgegevens

De derde categorie persoonsgegevens zijn de 'strafrechtelijke persoonsgegevens' over een persoon. Dit zijn gegevens die informatie geven over het strafrechtelijk verleden van een persoon. Net als de verwerking van 'bijzondere persoonsgegevens', is de verwerking van 'strafrechtelijke persoonsgegevens' verboden. Hierop bestaan een aantal uitzonderingen, zoals wanneer een persoon zélf uitdrukkelijk toestemming geeft voor de verwerking van diens strafrechtelijke persoonsgegevens of indien er sprake is van een zwaarwegend algemeen belang.

Voorbeelden van strafrechtelijke persoonsgegevens

Tot de strafrechtelijke persoonsgegevens van een persoon behoren gegevens over diens:
  • strafrechtelijke veroordelingen
  • strafrechtelijke feiten waarvan de persoon wordt verdacht
  • door de rechter opgelegde veiligheidsmaatregelen omtrent strafrechtelijke feiten of veroordelingen van de persoon
  • door de rechter opgelegd verbod door hinderlijk of onrechtmatig gedrag van de persoon

Verboden voor organisaties om 'bijzondere' en 'strafrechtelijke' persoonsgegevens te verwerken

Het is verboden voor een organisatie om gegevens van personen te verwerken die behoren tot de categorie 'bijzondere persoonsgegevens' of tot de categorie 'strafrechtelijke persoonsgegevens'. Indien een organisatie zich niet aan dit verbod houdt, kan deze een boete opgelegd krijgen door de Autoriteit Persoonsgegevens (AP) welke op kan lopen tot in de miljoenen euro's. Alleen als er sprake is van een uitzonderingsgeval een organisatie kan een beroep doen op een specifieke wettelijke uitzondering en er is ook minimaal één van de 6 grondslagen van de AVG.

Lees verder

© 2018 - 2019 Aucourant, het auteursrecht (tenzij anders vermeld) van dit artikel ligt bij de infoteur. Zonder toestemming van de infoteur is vermenigvuldiging verboden.
Gerelateerde artikelen
Persoonsgegevens: Je rechten bij veranderen en afschermenPersoonsgegevens: Je rechten bij veranderen en afschermenDe Wet bescherming persoonsgegevens is ingevoerd om de privacy van mensen te beschermen. In mei 2018 werden die wetten e…
AVG: Privacywetgeving EUAVG: Privacywetgeving EUOp 25 mei 2018 is de privacywetgeving in de hele Europese Unie (EU) ingevoerd. In Nederland wordt deze wet de Algemene v…
Datalek; wat is het en wanneer moet je het melden?Datalek; wat is het en wanneer moet je het melden?Sinds 1 januari 2016 bestaat de verplichting om een datalek te melden. De melding moet onverwijld worden gedaan zodra ee…
Persoonsgegevens en internet, privacybescherming op het webPersoonsgegevens en internet, privacybescherming op het webPersoonlijke gegevens en persoonsgegevens op het internet kunnen mensen jarenlang achtervolgen. Sterker nog, die gegeven…
Clean desk en Clear screen policyClear desk en clear screen. Letterlijk betekenen deze woorden schoon bureau en schoon scherm. Clear desk en clear screen…
Bronnen en referenties
  • Inleidingsfoto: Geralt, Pixabay
  • Algemene verordening gegevensbescherming, artikel 9 lid 1, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf
  • Autoriteit Persoonsgegevens, AVG - Europese privacywetgeving, https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/mag-u-persoonsgegevens-verwerken.
  • Justitia, Persoonsgegevens, https://www.justitia.nl/privacy/persoonsgegevens.html.
  • Uitvoeringswet Algemene verordening gegevensbescherming, artikel 17, https://wetten.overheid.nl/BWBR0040940/2018-05-25#Hoofdstuk3.

Reageer op het artikel "AVG: Welke persoonsgegevens mag een organisatie verwerken?"

Plaats als eerste een reactie, vraag of opmerking bij dit artikel. Reacties moeten voldoen aan de huisregels van InfoNu.
Meld mij aan voor de tweewekelijkse InfoNu nieuwsbrief
Ik ga akkoord met de privacyverklaring en ben bekend met de inhoud hiervan
Infoteur: Aucourant
Laatste update: 16-02-2019
Rubriek: Mens en Samenleving
Subrubriek: Regelingen
Special: AVG
Bronnen en referenties: 5
Schrijf mee!