De AVG en verschillende soorten persoonsgegevens
Organisaties mogen onder de Algemene Verordening Gegevensbescherming (AVG) alleen gewone persoonsgegevens verwerken als ze aan één van de zes AVG-grondslagen voldoen. Voor bijzondere persoonsgegevens zijn de regels nog strenger. Welke soorten persoonsgegevens zijn er?
De verwerking van bijzondere persoonsgegevens is verboden. Tenzij organisaties zich kunnen beroepen op een specifieke wettelijke uitzondering én op één van de zes grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. De zes grondslagen onder de AVG zijn als volgt:
- De organisatie heeft toestemming van de betrokken persoon.
- De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
- De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
- De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
- De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
- De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
Persoonsgegevens volgens de AP
Maar wat is nu eigenlijk een persoonsgegeven? Een persoonsgegeven is volgens de Autoriteit Persoonsgegevens (AP) elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.
Vele soorten persoonsgegevens
Er zijn vele soorten persoonsgegevens (infographic). Gewone persoonsgegevens zijn bijvoorbeeld naam, adres, woonplaats, telefoonnummer, geboorteplaats, geboortedatum, pasfoto, beelden van bewakingscamera's waar iemand op staat, wat iemand koopt op internet. Deze persoonsgegevens zijn direct. Er zijn ook indirecte persoonsgegevens die in combinatie met andere gegevens iets zeggen over een persoon. Zo kan bijvoorbeeld een IP-adres een persoonsgegeven zijn. De AVG onderscheidt ook bijzondere persoonsgegevens (de letterlijke term in de AVG is: ‘bijzondere categorieën van persoonsgegevens’).
Bijzondere persoonsgegevens zijn gegevens die zó privacygevoelig zijn dat het grote(re) impact op iemand kan hebben als deze gegevens worden verwerkt. Daarom krijgen bijzondere persoonsgegevens extra bescherming in de AVG. Dit staat in artikel 9 AVG. Die persoonsgegevens betreffen godsdienst, levensovertuiging, ras, politieke voorkeur, gezondheid, seksuele leven, lidmaatschap van een vakbond, genetische gegevens en biometrische gegevens.
Tot slot zijn er nog gevoelige persoonsgegevens, die hebben een grotere impact op iemands privacy dan gewone persoonsgegevens. Denk aan het burgerservicenummer (BSN), financiële gegevens, locatiegegevens en gegevens over elktronische communicatie.
AVG-tool van Rendement
Alleen al de regels rondom persoonsgegevens zijn behoorlijk ingewikkeld, laat staan het compleet voldoen aan alle AVG-regels. Voor organisaties die willen checken of ze AVG-proof zijn, heeft Rendement een AVG-tool ontwikkeld. Deze biedt een volledige, juridisch juiste maar vooral ook laagdrempelige oplossing. Iedere werknemer kan de checks toepassen. De software biedt een doorlopende controle op onderdelen van de administratieve organisatie en interne beheersing van processen.