Het gevolg van een samenleving waar digitalisatie en innovatie grote rol speelt, is dat bijna iedere denkbare organisatie persoonsgegevens van bijvoorbeeld cliënten of werknemers bezit. De vraag die dan ontstaat is: wat valt onder persoonsgegevens? Wat houdt het verwerken van persoonsgegevens in? Wanneer mag je persoonsgegevens rechtmatig verwerken? Deze vragen worden in dit blog behandeld.
Om te beginnen is het van belang om vast te stellen wat persoonsgegevens zijn. In de AVG worden persoonsgegevens gedefinieerd als alle informatie over een persoon die direct naar die persoon herleidbaar is. Hierbij kan je denken aan een e-mailadres of een telefoonnummer. Daarnaast wordt in de AVG een onderscheid gemaakt tussen persoonsgegevens en bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gevoeligere informatie over een persoon die direct naar die persoon herleidbaar is. Bijzondere persoonsgegevens zijn gegevens over iemands ras of afkomst, politieke opvatting levensovertuiging of religie, lidmaatschap van een vakbond, biometrische of genetische informatie, strafrechtelijk verleden, seksuele leven en gezondheid.
Nu we weten wat persoonsgegevens en bijzondere persoonsgegevens zijn, kunnen we vaststellen wanneer je deze gegevens mag verwerken. AVG stelt dat alle acties, die op persoonsgegevens uitgevoerd worden onder het verwerken van persoonsgegevens vallen. Hierbij kan je denken aan het verzamelen, bewerken of zelfs opslaan van gegevens. Belangrijk om te onthouden is dat opslaan ook een actie is die op persoonsgegevens uitgevoerd wordt, en dus ook onder het verwerken van persoonsgegevens valt. Dit heeft tot gevolg dat zelfs bij opslaan van persoonsgegevens de organisatie al rekening met de AVG moet houden.
Om persoonsgegevens rechtmatig te kunnen verwerken, is er een grondslag voor de verwerking nodig. In de AVG worden de zes grondslagen voor rechtmatige verwerking van persoonsgegevens genoemd. Voor rechtmatige verwerking moet minstens één van die zes van toepassing zijn; de betrokkene heeft toestemming voor de verwerking gegeven, de verwerking noodzakelijk is voor de uitvoering van een overeenkomst, een wettelijke verplichting of om de vitale belangen van de betrokkene of derde persoon te beschermen. Daarnaast is verwerking rechtmatig indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of taak in het kader van openbaar gezag. Tot slot is de verwerking rechtmatig wanneer het noodzakelijk is om een gerechtvaardigde belang te behartigen. Het wordt aangeraden om de grondslag te vermelden en deze te kunnen motiveren zodat de betrokkenen op de hoogte zijn van de reden van verwerking.
Om bijzondere persoonsgegevens rechtmatig te kunnen verwerken, moet er aan strengere eisen voldaan worden dan bij ‘reguliere’ persoonsgegevens. Er moet aan strengere eisen voldaan worden omdat bijzondere persoonsgegevens meer gevoelig informatie over een persoon bevatten dan ‘gewone’ persoonsgegevens. Bijzondere persoonsgegevens mogen pas verwerkt worden als er aan minstens één van de volgende eisen is voldaan: de betrokkene heeft nadrukkelijk toestemming gegeven of heeft de gegevens zelf openbaar gemaakt. Ook kunnen de gegevens verwerkt worden indien het noodzakelijk is om vitale belangen van betrokkene of derde persoon te beschermen of voor een rechtsvordering en handelingen van gerechten in het kader van rechtsbevoegdheid. Ook is het toegestaan als een instantie zonder winstoogmerk de gegevens verwerkt. In overweging 51 en 56 van de AVG wordt toegelicht waarom deze instanties gevoelige informatie mogen verwerken. De instanties mogen deze specifieke bijzondere persoonsgegevens verwerken doordat het noodzakelijk is voor het doel van de instantie. Het is bijvoorbeeld noodzakelijk om bij een politieke partij de politieke opvattingen van haar leden op te slaan.
Deze vijf uitzonderingen hebben de zogenaamde rechtstreekse werking, dit houdt in dat ze voor elke Europese lidstaat gelden en hoeven niet eerst omgezet te worden in nationale wetgeving. Naast deze vijf uitzonderingen kunnen ook vijf andere uitzonderingen gelden. Deze vijf uitzonderingen hebben echter geen directe werking en moeten dus eerst in nationaal wetgeving omgezet worden voordat ze een geldig uitzondering vormen.
Allereerst kan verwerking van bijzondere persoonsgegevens rechtmatig geschieden als de verwerking noodzakelijk is voor uitvoering van specifieke rechten van betrokkene of verwerkingsverantwoordelijke op het gebied van arbeidsrecht, socialezekerheidsrecht of sociale beschermingsrecht. Ook is de verwerking rechtmatig, wanneer de verwerking noodzakelijk is om redenen van zwaarwegend belang, bijvoorbeeld bescherming van grondrechten. Verder is de verwerking rechtmatig indien het noodzakelijk is voor preventieve of arbeidsgeneeskundige doeleinden. Daarnaast mag de verwerking geschieden als het noodzakelijk is om redenen van algemeen belang op het gebied van volksgezondheid. Tot slot mag de verwerking ook geschieden indien het noodzakelijk is voor archivering in het algemeen belang, wetenschappelijk of strategische doeleinden. De uitzonderingen kunnen gevonden worden in artikelen 23 en verder in de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) of de specifieke wet van het rechtsgebied.
In beginsel is dus de verwerking van bijzondere persoonsgegevens verboden, echter als er minstens aan één van deze uitzonderingen voldaan is, dan is de verwerking van bijzondere persoonsgegevens toch mogelijk.
In deze blog werd besproken wat onder persoonsgegevens valt en wanneer je deze rechtmatig kunt verwerken. Wilt u meer weten over AVG-data compliance? In de volgende blog zal worden besproken wat anonimiseren en pseudonimiseren van persoonsgegevens inhoudt.