Weet jij welke persoonsgegevens er binnen jouw organisatie verwerkt worden (deel 2)?

Waar we in het eerste deel van “Weet jij welke persoonsgegevens er binnen jouw organisatie verwerkt worden” voornamelijk keken naar de manier waarop je dit inventariseert en wat je met deze info doet, kijken we in deel twee naar het verschil tussen het verwerken van bijzondere en ‘normale’ persoonsgegevens. Zo onderzoeken we wanneer iets een bijzonder persoonsgeven is. Ook werpen we een blik op de gevolgen die het verwerken van bijzondere persoonsgegevens voor jouw organisatie heeft.

Zoals we in de eerdere blog over dit onderwerp lazen is een inventarisatie naar de verwerkte persoonsgegevens binnen een organisatie essentieel voor het kunnen nemen van de juiste vervolgstappen. Vervolgstappen als: het uitwerken van deze informatie in het verwerkingsregister, maar ook het op een passende wijze informeren over de verwerking van deze persoonsgegevens.

Bij deze inventarisatie is het essentieel om goed onderscheid te maken tussen bijzondere persoonsgegevens, zoals opgenomen onder artikel 9 lid 1 AVG, en ‘normale’ persoonsgegevens (waarmee alle niet bijzondere persoonsgegevens bedoeld worden). Maar het maken van dit onderscheid is in sommige gevallen nog niet zo gemakkelijk. Uiteraard is het verschil tussen gegevens in een elektronisch patiëntendossier met informatie over iemands medische achtergrond en gegevens bestaand uit iemands adres makkelijk te duiden. Lastiger wordt het wanneer we in de meer grijze gebieden komen.

Het gaat om de context

Het is een veel gehoorde opmerking: “Wij verwerken bijzondere persoonsgegevens, want we maken een smoelenboek van onze medewerkers”. De aanleiding voor deze gedachtegang kan zijn oorsprong vinden in twee categorieën van bijzondere persoonsgegevens. Namelijk, het maken van foto’s levert gegevens op over ras, religie en/of etniciteit, én biometrische gegevens.

Waarom is dit zo? Een veel gemaakte aanname is dat alle foto’s biometrische persoonsgegevens zijn, omdat toepassingen met biometrie (zoals gezichtsherkenning) mogelijk zouden zijn. Ook zouden foto’s iets zeggen over iemands etnische achtergrond en mogelijk zijn of haar geloofsovertuiging.

Deze aanname wordt vaak iets te snel gemaakt. Biometrische gegevens zijn namelijk persoonsgegevens die het resultaat zijn van een specifieke technische verwerking van fysiologische, fysieke of gedragsgerelateerde kenmerken van een persoon. Een simpele foto in een smoelenboek is dit in veel gevallen dus niet. Een biometrisch template met informatie over de afstand tussen iemands neus en mond, om zo eenduidige identificatie mogelijk te maken is dit wel.

Daarnaast levert het maken van een foto niet zondermeer de verwerking op van gegevens over iemands geloofsovertuiging en/of etniciteit. En dat is maar goed ook. Immers, het maken van een foto geeft dit soort informatie al snel prijs door het wel of niet dragen van specifieke religieuze kenmerken. Dat zou een hoop extra werk opleveren gelet op de regels die gelden voor het verwerken van dit soort gegevens.

Het gaat in deze gevallen – en dit gaat ook op voor foto’s met daarop iemand met krukken – om het doel waarmee de foto is gemaakt. Is het doel van de foto het blootleggen van dit soort informatie? Bijvoorbeeld om onderscheid te kunnen maken op basis van dit gegeven. Dan hebben we te maken met het verwerken van bijzondere persoonsgegevens. Bij het aanleggen van een smoelenboek zal dit niet snel het geval zijn.

Wat moeten we hiermee?

Kom je uiteindelijk tot de conclusie dat je toch bijzondere persoonsgegevens verwerkt? Bijvoorbeeld omdat jouw organisatie röntgenfoto’s verwerkt (ja bijzonder, want gemaakt met als doel het vastleggen van een medische situatie), dan zal je goed na moeten denken over een aantal zaken.

Wat dan zoal? Het is belangrijk om goed na te denken over onder meer:

  • De uitzonderingsgrond waar je je op wenst te beroepen. Een grondslag, zoals opgenomen in artikel 6 van de AVG is namelijk niet voldoende. Je zal je moeten kunnen beroepen op een uitzondering opgenomen in artikel 9 t.a.v. het verbod op het verwerken van bijzondere persoonsgegevens.
  • De wijze waarop je de gegevens beveiligt. Beveiliging dient passend te zijn: ga dus nóg zorgvuldiger om met bijzondere persoonsgegevens.
  • Afspraken met (sub)verwerkers. Zorg dat deze verwerkers ook net zo zorgvuldig met jouw bijzondere gegevens omgaan.
  • De verwerkingsbeginselen uit artikel 5, welke van toepassing zijn op alle bijzondere en ‘normale’ persoonsgegevens.

Wilt u meer weten over Privacy Verified?

Heeft u behoefte aan een AVG toets op maat? Wij komen graag met u in contact om privacy binnen uw organisatie zo goed mogelijk in te richten en te managen. Zo zorgen we samen dat privacy vóór uw organisatie gaat werken, en niet andersom.

Een greep uit onze klanten