#Onbezorgd Online – De AVG: in 10 weken van TO DO naar DONE

WEEK 3: BIJZONDERE PERSOONSGEGEVENS

In deze blog leggen we uit wat er wordt bedoeld met de verwerking van bijzondere persoonsgegevens. De verwerking van bijzondere persoonsgegevens kan de verplichting met zich meebrengen tot het uitvoeren van een Data Protection Impact Assessment (DPIA) en/of het aanstellen van een functionaris voor de gegevensbescherming (FG).

 

Wat zijn bijzondere persoonsgegevens? 

Het zijn gegevens die gezien de aard extra gevoelig zijn, bijvoorbeeld gegevens over gezondheid, genetische gegevens (DNA onderzoek), biometrische gegevens (vingerafdruk), politieke opvattingen, religieuze overtuiging of gegevens over ras of etnische afkomst. Voor deze gegevens geldt een extra bescherming.

 

De verwerking van bijzondere persoonsgegevens is in beginsel niet toegestaan, tenzij een beroep kan worden gedaan op een wettelijke uitzondering en op een van de zes grondslagen voor de gewone gegevensverwerking zoals beschreven in onze vorige blog.

 

Hieronder tref je de tien wettelijke uitzonderingen aan op basis waarvan het is toegestaan om bijzondere persoonsgegevens te verwerken. Let wel: er moet daarnaast óók sprake zijn van een van de zes wettelijke grondslagen.

  1. Je hebt uitdrukkelijk toestemming verkregen van degene van wie je de gegevens gaat verwerken;
  2. De verwerking van de bijzondere persoonsgegevens is noodzakelijk voor de uitvoering van verplichtingen of voor de uitvoering van specifieke rechten van jezelf of van de betrokkenen. Het gaat dan bijvoorbeeld om de uitvoering van regels op het gebied van arbeid en sociale zekerheids- en beschermingsrecht*;
  3. De verwerking van de bijzondere persoonsgegevens is noodzakelijk voor de bescherming van de vitale belangen van jezelf of een andere natuurlijk persoon; als je bijvoorbeeld niet meer in staat bent (fysiek of juridisch) om toestemming te geven maar dit wel noodzakelijk is. Bijvoorbeeld bij een ziekenhuisopname;
  4. Als de verwerking wordt gedaan door een organisatie zonder winstoogmerk die werkt op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied, én de verwerking plaatsvindt in het kader van gerechtvaardigde activiteiten en met passende waarborgen. Bijvoorbeeld de ledenadministratie van een politieke partij;
  5. Als de betrokkene zelf duidelijk zijn of haar gegevens openbaar heeft gemaakt mag men deze gebruiken ter verwerking. Denk hierbij aan de politieke voorkeur van een lijsttrekker van een politieke partij;
  6. De verwerking van de bijzondere persoonsgegevens is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtszaak;
  7. Redenen van zwaarwegend algemeen belang maken noodzakelijk dat de gegevens worden verwerkt*;
  8. De verwerking van bijzondere persoonsgegevens is van preventieve (arbeids)geneeskundige aard. Bijvoorbeeld als je getoetst moet worden op arbeidsgeschiktheid*;
  9. Er is sprake van redenen van algemeen belang op het gebied van volksgezondheid*;
  10. De verwerking van bijzondere persoonsgegevens is van belang voor de archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statische doeleinden*;

*deze uitzonderingen zijn alleen van toepassing indien daarvoor in de nationale wet een rechtsbasis is gecreëerd.

                                         

Data Protection Impact Assessment (DPIA)

De AVG legt de verantwoordelijkheid om aan te tonen dat men aan de privacyregels voldoet neer bij de organisaties die de gegevens verwerken. Deze verantwoordingsplicht betekent dat je moet kunnen aantonen dat je de juiste technische en organisatorische maatregelen hebt getroffen om persoonsgegevens te beschermen. Het is een eigen verantwoordelijkheid.

Een van deze maatregelen is het uitvoeren van een Data Protection Impact Assessment (DPIA). Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, om zodoende maatregelen te kunnen nemen om de risico’s te verkleinen. Organisaties zijn niet verplicht om voor elke gegevensverwerking een DPIA uit te voeren. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Deze afweging moet je als organisatie zelf maken. Om je hierbij te helpen heeft de werkgroep van Europese privacytoezichthouders wel een lijst opgesteld van criteria die de gegevensverwerking kenmerken:

  1. Beoordelen van mensen op basis van persoonskenmerken. Het gaat hierbij onder meer om profilering en het maken van prognoses op basis van kenmerken. Een duidelijk voorbeeld is een bank die de kredietwaardigheid bepaalt van de klant.
  2. Stelselmatige en grootschalige monitoring, bijvoorbeeld via cameratoezicht.
  3. Grootschalige gegevensverwerkingen. Om te beoordelen of hiervan sprake is moet worden gekeken naar de hoeveelheid mensen van wie gegevens worden verwerkt, de hoeveelheid en verscheidenheid aan gegevens die worden verwerkt, de tijdsduur van de gegevensverwerking en de geografische reikwijdte van een gegevensverwerking. In een ziekenhuis is bijvoorbeeld sprake van grootschalige gegevensverwerking.
  4. Geautomatiseerde beslissingen. Het gaat dan om beslissingen die voor de betrokkenen rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Bijvoorbeeld als een gegevensverwerking ertoe leidt dat personen worden uitgesloten.
  5. Gevoelige gegevens. Dit betreft een bijzondere categorie van persoonsgegevens, zoals financiële gegevens of strafrechtelijke gegevens.
  6. Gekoppelde databases, oftewel gegevensverzameling die aan elkaar gekoppeld of met elkaar gecombineerd zijn.
  7. Gegevens over kwetsbare personen. Hierbij gaat het om een ongelijke machtsverhouding tussen de verantwoordelijke en de betrokkene, waarbij de laatste niet kan weigeren om gegevens te laten verwerken. Bijvoorbeeld werknemers, patiënten of kinderen.
  8. Gebruik van nieuwe technologieën. Bij een nieuwe manier van gegevensverwerking, zijn de privacyrisico’s namelijk vaak nog onbekend.
  9. Blokkering van een recht, dienst of contract. In dit geval heeft de gegevensverwerking tot gevolg dat de betrokkene een recht niet kan uitoefenen, een dienst niet kan gebruiken of niet in de mogelijkheid is om een contract af te sluiten. Een voorbeeld hiervan is een bankinstelling die persoonsgegevens verwerkt om te bepalen of zij een lening aan iemand wil verstrekken.

Voldoet de gegevensverwerking aan criteria genoemd bij punt 1, 2 of 3? Dan kan je er vanuit gaan dat een DPIA waarschijnlijk verplicht is. Voor de overige criteria geldt de vuistregel dat een DPIA verplicht zal zijn als je aan twee of meer voorwaarden voldoet. Besluit je om toch geen DPIA uit te voeren? Dan moet je die beslissing kunnen onderbouwen, ook als je slechts aan één of geen van bovengenoemde criteria voldoet.

Overigens is het natuurlijk ook mogelijk om op vrijwillige basis een DPIA uit te voeren. Dit bevordert de gegevensbescherming en stimuleert organisaties om tijdig na te denken over de impact van de verwerking op de privacy van de betrokkenen en de mogelijkheid om een (alternatieve) aanpak te kiezen met een minder ingrijpende impact op de privacy.

 

LET OP: de uitvoering van een DPIA kan ook verplicht zijn voor een bestaande verwerking. Hiervan is sprake als een verandering ertoe leidt dat de gegevensverwerking (na de verandering) een hoog privacyrisico oplevert. Om die reden raden wij aan om periodiek te toetsen of de uitvoering van een DPIA verplicht is, en zo ja, om periodiek de DPIA uit te voeren.

 

Functionaris voor gegevensbescherming (FG)

Op het moment dat de AVG in werking treedt (25 mei aanstaande) kan je verplicht zijn als organisatie om een functionaris aan te stellen die intern toezicht houdt op o.a. het naleven van de privacywet. Als de organisatie een DPIA gaat uitvoeren ben je verplicht om een eventueel aangestelde functionaris om raad te vragen en in het rapport over DPIA het advies van de functionaris mee te nemen en aan te geven wat ermee is gedaan.

In de drie onderstaande situaties ben je verplicht een FG aan te stellen.

ü  Als je als organisatie als hoofdactiviteit op grote schaal bijzondere persoonsgegevens verwerkt (bijv. gezondheid, politieke opvatting, ras);

ü  Als je als organisatie als hoofdactiviteit op grote schaal personen volgt (bijv. via cameratoezicht of door het monitoren van gezondheid op afstand);

ü  Voor overheidsinstanties of publieke organisaties (bijv. zorg- en onderwijsinstellingen).

Organisaties moeten de FP (opnieuw) aanmelden bij de Autoriteit Persoonsgegevens (AP). De AP wil weten of het om een verplichte of vrijwillige FP gaat. Het (opnieuw) aanmelden kan al vanaf 3 april aanstaande met een nieuw formulier via de website. Wij zullen per die datum in deze blog een link plaatsen naar het nieuwe formulier. Als de aanmelding niet met het nieuwe formulier is gedaan komt deze te vervallen.

Waaraan moet een FG voldoen?

Een FG moet kennis hebben van de nationale en Europese privacywet- en regelgeving over de gegevensbescherming en begrip hebben van de gegevensverwerkingen die plaatsvinden binnen de organisatie, ook op het gebied van IT en informatiebeveiliging. Verder is kennis van de organisatie en de sector een absoluut vereiste en dient een FG over de vaardigheid te beschikken om een cultuur van gegevensbescherming te ontwikkelen binnen de organisatie. Het concrete kennisniveau waarover een FG moet beschikken is afhankelijk van de gegevensverwerkingen die de organisatie uitvoert en welk niveau van bescherming vereist is. De FG fungeert als aanspreekpunt voor de AP en adviseert de organisatie over de nieuwe regels en eisen. Er mag geen belangenverstrengeling zijn; de FG moet onafhankelijk kunnen werken.

 

 

Meer weten over de aanstelling van een FG of de uitvoering van een DPIA? Neem dan contact met ons op voor een maatwerk advies! In onze blog van volgende week lichten we meer toe over het principe “Privacy by design” en gaan we nader in op de technische en organisatorische maatregelen die je als organisatie moet nemen.