In de Algemene Verordening Gegevensbescherming (AVG) heeft de wetgever een onderscheid gemaakt tussen persoonsgegevens en bijzondere persoonsgegevens. Wat zijn bijzondere persoonsgegevens volgens de AVG?
Wat zijn bijzondere persoonsgegevens?
Het zijn gevoelige gegevens, zoals informatie over iemands godsdienst, ras, gezondheid of strafrechtelijke verleden. Voor de verwerking van deze categorieën van persoonsgegevens biedt de AVG een hoge mate aan bescherming.
In de AVG zijn wijzigingen aangebracht in de bewoordingen van categorieën bijzondere persoonsgegevens. Zo worden genetische gegevens in de AVG als expliciet als bijzondere persoonsgegevens vastgelegd. De gevoeligheid van genetische gegevens, zoals DNA, volgt uit het feit dat zij iets zeggen over de gezondheidstoestand van een persoons en diens familieleden.
Biometrische gegevens als bijzondere gegevens
Ook biometrische gegevens worden in de AVG aangemerkt als bijzondere persoonsgegevens. Hiervoor dienen zij wel verwerkt worden met het oog op unieke identificatie van een persoon. Enkele voorbeelden van biometrische gegevens. zijn onder meer vingerafdrukken, stem, handschrift en scans van netvlies, iris en gelaat. Deze exacte meetgegevens bevatten unieke lichaamskenmerken van een persoon. Dit maakt dat deze biometrische gegevens van bijzondere aard zijn.
Waarom is het onderscheid tussen persoonsgegevens en bijzondere persoonsgegevens?
Het verwerken van bijzondere persoonsgegevens is verboden, tenzij een organisatie zich kan beroepen op een specifieke wettelijke uitzondering. Zo kan een uitdrukkelijke toestemming van de betrokkene gezien worden als een uitzondering op het dit verbod. Hierbij is van belang dat de toestemming controleerbaar moet zijn. Deze toestemming mag altijd ingetrokken worden. Hiermee weet de betrokkene zeker dat hij kan beslissen over de persoonsgegevens die op hem betrekking hebben.
Wat betekent dit voor mijn organisatie?
Het verwerken van deze gegevens gaat gepaard met wettelijke regels die de rechtmatige verwerking van persoonsgegevens beogen. Dit brengt extra verantwoordelijkheden voor organisaties met zich mee. Hiervoor dient u als organisatie inzichtelijk te hebben welke gegevens u verwerkt, en of u bijzondere persoonsgegevens verwerkt. Vervolgens dient u na te gaan of u deze gegevens veilig verwerkt. Ook dient u na te gaan of u deze persoonsgegevens met derden deelt.
In sommige gevallen kunt u deze persoonsgegevens zonder meer verwerken. Hierbij kunt u denken aan de situatie dat u een fysiotherapeut bent en informatie van uw cliënt omtrent zijn gezondheid nodig heeft om de juiste behandeling toe te passen. Ook kunt u denken aan de situatie dat u de werkgever bent en dient bij te houden of de werknemer zich ziek heeft gemeld. In dit geval mag u geen inhoudelijke vragen over de achtergrond van de ziekmelding vragen, hiervoor heeft u de bedrijfsarts of arboarts nodig. Hierover in een ander artikel meer.