Gevoelige persoonlijke informatie?
Volgens complianceregels omvat gevoelige persoonlijke informatie twee soorten informatie die moeten worden onderscheiden.
Er is persoonlijke informatie en gevoelige informatie.
Persoonlijke gegevens omvatten gegevens die kunnen worden gebruikt om je als individu te identificeren; zaken zoals je naam, geboortedatum of e-mailadres.
Gevoelige gegevens zijn een meer specifieke reeks categorieën. Deze categorieën omvatten gezondheidsinformatie, ras of etnische achtergrond, politieke opvattingen, religieuze of filosofische overtuigingen, lidmaatschap van een vakbond, seksleven of seksuele geaardheid, genetische gegevens en biometrische gegevens.
Er moet met grote zorgvuldigheid met deze gegevens worden omgegaan, omdat het lekken van deze informatie tot discriminatie kan leiden.
Er bestaat echter enige verwarring over welke gegevens in welke categorie vallen. Laten we eens kijken naar de meest gestelde vragen over gevoelige gegevens.
Leeftijd is geen gegeven dat je als een persoon kan identificeren en is een persoonlijke gegeven dat naar verwachting in de database kan voorkomen. Leeftijd valt onder de categorie ‘persoonsgegevens’ en is niet gevoelig in relatie tot de AVG wetgeving.
Een e-mailadres valt onder de categorie persoonsgegevens, omdat het wel betrekking heeft op de persoon en deze kan identificeren. Het worden echter niet als gevoelige gegevens beschouwd omdat ze op zichzelf geen directe en ernstige impact hebben op de privacy.
Gevoelige gegevens kunnen zich vaak ophopen in de e-mails van werknemers. Met een GDPR Risk Scan van DataMapper krijgt u een rapport dat eventuele GDPR-risico’s in de e-mails van het bedrijf laat zien.
Namen worden gecategoriseerd als persoonsgegevens, omdat ze kunnen leiden tot de identificatie van een persoon, maar ze worden niet geclassificeerd als gevoelige gegevens omdat namen op zichzelf geen risico vormen op ernstige schending van de privacy.
Aan de andere kant kunnen sommige soorten identificerende gegevens, zoals het burgerservicenummer van een persoon, als gevoelig worden beschouwd, omdat deze een grotere impact kunnen hebben op de privacy.
Een foto is een direct identiteitsbewijs en valt onder de categorie gevoelige persoonsgegevens met betrekking tot ras en etnische achtergrond.
Dit betekent dat deze niet zonder uitdrukkelijke toestemming van iemand dat dit in het bezit mag zijn van iemand, tenzij de wetgeving een uitzondering bepaalt.
Salarisgegevens worden gezien als gevoelige gegevens beschouwd. Hoewel het niet direct onder de categorie valt die volgens de AVG als gevoelige persoonsgegevens wordt gedefinieerd, is salarisinformatie een bijzondere categorie, met een grotere impact op de privacy dan andere persoonsgegevens zoals iemands leeftijd, e-mailadres of naam.
Nationaliteit hangt nauw samen met de gevoelige gegevenscategorie ras en etnische achtergrond. Wees voorzichtig bij het opslaan van dit soort gegevens, aangezien de regels voor het omgaan met gevoelige persoonlijke gegevens strenger zijn, wat een uitdaging vormt als u nationaliteiten opneemt in de werknemersinformatie die in uw database is opgeslagen.
Een paspoort is een volledig bewijs van uw identiteit, inclusief ras en etnische achtergrond. Bedrijven mogen zonder uitdrukkelijke toestemming geen toegang krijgen tot iemands paspoort, tenzij de wetgeving een uitzondering toestaat.
Initialen zijn persoonlijke gegevens die in principe kunnen worden afgeleid van de naam van het individu. Het heeft op zichzelf geen directe en serieuze gevolgen voor de privacy.
Adresgegevens op zich zelf zijn niet gevoelig. Maar een adres is persoonlijke informatie, omdat het kan worden gebruikt om een persoon te identificeren. Op zichzelf heeft het geen directe impact op de privacy.
Verjaardag wordt echter beschouwd als persoonlijke informatie, omdat deze geen direct verband houdt met privacy.
Volgens de Verordening Persoonsgegevens is het burgerservicenummer geen gevoelige informatie. Het burgerservicenummer behoort echter tot een categorie die buiten de AVG-categorieën voor gevoelige persoonsgegevens valt. Dit gezegd hebbende, wordt het burgerservicenummer behandeld als gevoelige informatie, omdat het nummer alleen wordt gebruikt om een persoon te identificeren. Niet alle landen hebben een persoonlijk identificatienummer.
Voordat we informatie gaan verzamelen, moeten we weten of het gevoelige persoonlijke informatie betreft. De praktijk voor het opslaan en beschermen van deze informatie zal verschillen afhankelijk van of het om gevoelige persoonsgegevens gaat of niet.
Als we niet zeker weten of dit soort gegevens in de systemen staan, hebben, waar deze zich bevinden en hoeveel we ervan opslaan, daarbij is het raadzaam Datamapper te gebruiken om deze in alle gegevenssystemen teruggekeerd te kunnen vinden.