Wat zijn gevoelige persoonlijke gegevens?
De AVG (Algemene Verordening Gegevensbescherming) maakt onderscheid tussen ‘persoonsgegevens’ en ‘gevoelige persoonsgegevens’.
Hoe ze verschillen en wat je moet weten over gevoelige gegevens als deze worden verwerkt.
Wat zijn ‘persoonsgegevens’ onder de AVG?
De Verordening definieert ‘persoonsgegevens’ als:
Alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”).
Met andere woorden: alle informatie die duidelijk over een bepaalde persoon gaat.
Afhankelijk van de omstandigheden kan dit alles omvatten, van iemands naam tot zijn fysieke verschijning.
Eerder hebben we meer uitgelegd over persoonlijke gegevens en het belang ervan.
Wat zijn ‘gevoelige persoonsgegevens’?
In de meest basale definitie zijn gevoelige gegevens een specifieke reeks ‘speciale categorieën’:
Genetische gegevens
Politieke meningen
Ras of etnische afkomst
Gegevens over gezondheid
Lidmaatschap van een vakbond
Religieuze of filosofische overtuigingen
Gegevens over seksleven of seksuele geaardheid
Biometrische gegevens (indien verwerkt om iemand uniek te identificereny)
Wanneer mogen gevoelige gegevens worden verwerkty?
Artikel 9 van de AVG verbiedt de verwerking van bijzondere gegevens, tenzij men zich kan beroepen op een vrijstelling.
Net als bij niet-gevoelige persoonsgegevens, zoals namen en adressen, mogen gevoelige gegevens alleen verwerken als men zich daarvoor kan beroepen op een wettelijke grondslag (op grond van artikel 6):
Toestemming
Publieke taak
Vitale belangen
Wettelijke verplichting
Gerechtvaardigde belangen
Contractuele verplichting
De zes rechtsgrondslagen nader toegelicht.
Voor gevoelige gegevens legt de AVG echter extra regels op: er moet een wettelijke grondslag op grond van artikel 9 zijn en deze moet worden gedocumenteerd.
Wat zijn de wettige grondslagen op grond van artikel 9?
Er mag alleen gevoelige informatie worden verwerkt als een uitzondering genoemd onder artikel 9 van toepassing is.
Hieronder hebben we ze opgesomd, waar mogelijk gegroepeerd op relevantie voor de wettelijke grondslagen van artikel 6.
Toestemming
U heeft uitdrukkelijk toestemming gegeven voor de verwerking.
Publieke taak
De verwerking is noodzakelijk voor een ‘wezenlijk’ publiek belang.
De verwerking is noodzakelijk om taken van algemeen belang op het gebied van de volksgezondheid te voltooien, zoals de bescherming tegen ernstige grensoverschrijdende bedreigingen van de gezondheid of het waarborgen van hoge normen voor de kwaliteit en veiligheid van de gezondheidszorg, of van geneesmiddelen of hulpmiddelen.
De verwerking is noodzakelijk voor archiveringsdoeleinden van algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden.
Vitale belangen
De verwerking is noodzakelijk om de vitale belangen van een individu te beschermen.
Wettelijke verplichting
De verwerking is noodzakelijk om verplichtingen uit te voeren of de rechten van de betrokkene uit te oefenen op het gebied van arbeidsrecht, sociale zekerheid en/of sociale bescherming.
De verwerking is noodzakelijk om juridische claims vast te stellen, uit te oefenen of te verdedigen.
Verwerking is noodzakelijk voor een rechtbank om in haar rechterlijke hoedanigheid te kunnen optreden.
Ander
De betrokkene heeft de gegevens ‘kennelijk’ openbaar gemaakt.
De verwerking maakt deel uit van legitieme activiteiten of een non-profitorganisatie met een politiek, filosofisch, religieus of vakbondsdoel.
De verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, of een medische diagnose.
De verwerking is noodzakelijk om de arbeidsgeschiktheid van een medewerker te beoordelen.
Verwerking is noodzakelijk om gezondheidszorg- of socialezorgsystemen en -diensten te kunnen leveren.
Daar buiten zijn er in de Europese Unie verdere voorwaarden of beperkingen voor de verwerking van gevoelige gegevens – de bovenstaande lijst weerspiegelt alleen de vereisten van de EU AVG.