• Nieuws

Privacy in de praktijk – Hoe privacygevoeliger de informatie, des te minder er mag.

30 januari 2018
Privacy - Privacy - IT & privacy

In dit artikel komt de vuistregel aan de orde: hoe privacygevoeliger de informatie, des te minder er mag. Het zal met name gaan om bijzondere en gevoelige persoonsgegevens. De gevoeligheid van de gegevens is vooral relevant voor de vraag of een datalek gemeld moet worden, voor welk doel de gegevens gebruikt kunnen worden en hoe lang de gegevens bewaard moeten worden.

Wat zijn bijzondere persoonsgegevens?

In de wet worden bepaalde persoonsgegevens als bijzonder aangemerkt omdat ze informatie over bepaalde bijzondere onderwerpen onthullen. Het gaat om persoonsgegevens met –ook indirecte- informatie over:

  • Ras of etnische afkomst;
  • politieke opvattingen;
  • religieuze of levensbeschouwelijke overtuigingen;
  • het lidmaatschap van een vakbond;
  • genetische eigenschappen;
  • biometrische eigenschappen;
  • gezondheid;
  • seksueel gedrag of seksuele gerichtheid

Als uitgangspunt geldt dat deze gegevens alleen verwerkt mogen worden met toestemming van betrokkenen. Andere uitzonderingen vindt u in artikel 17 tot en met 23 van de Wbp en straks in artikel 22 tot en met 33 van de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). Deze uitzonderingen zullen in dit artikel niet (allemaal) aan bod komen.

Naast bijzondere persoonsgegevens bestaan er ook nog gevoelige persoonsgegevens. Hierbij moet gedacht worden aan het Burger Service Nummer (BSN), gegevens van strafrechtelijke aard, gegevens betreffende iemands financiële situatie, locatiegegevens of persoonsgegevens die verzameld worden met het oog op ‘profiling’, hier onder wordt verstaan “het verzamelen van openbare sociale media-gegevens met het oog op het genereren van profielen”. Deze situaties worden niet allemaal specifiek in de wet vermeld, maar met deze gegevens dient wel voorzichtig worden omgegaan.

Bijzondere persoonsgegevens in de praktijk

Er zijn genoeg organisaties die bijzondere persoonsgegevens verwerken en wellicht zonder dat zij het door hebben. Wellicht is een van onderstaande voorbeelden ook op uw organisatie van toepassing.

Gegevens betreffende iemands gezondheid: allergieën

Uw organisatie verwerkt een bijzonder persoonsgegeven wanneer u een lunchafspraak maakt met een klant of studenten uitnodigt voor een recruitmentevenement en daarbij vraagt naar hun allergieën. Waarschijnlijk noteert u dat of geeft u het door aan de cateraar, hier is dan sprake van het verwerken van een gegeven betreffende iemands gezondheid, wat een bijzonder persoonsgegeven is. Deze gegevens blijven vaak langer bewaard dan nodig is. In principe kunt u deze gegevens direct verwijderen na de lunchafspraak. Uw organisatie kan deze gegevens wel verwerken indien diegene de gegevens zelf heeft verstrekt.

Gegevens betreffende iemands ras: foto’s

Wanneer uw organisatie gebruik maakt van een intern smoelenboek is het belangrijk dat de werknemer uitdrukkelijke toestemming in vrije wil heeft gegeven. Dat is erg lastig bij de relatie tussen de werkgever en werknemer. U kunt het aanleveren van een foto niet verplicht stellen en het niet aanleveren van een foto mag geen gevolgen hebben voor de werknemer.

Gegevens betreffende iemands gezondheid: alcoholcontroles

Een energiebedrijf wilde haar werknemers controleren op alcohol en drugs door het afnemen van willekeurige testen. De AP werd getipt door de werknemers van het energiebedrijf en startte een onderzoek. Bij het afnemen van alcohol- en drugstesten worden verschillende gegevens verwerkt, zoals het verzamelen van adem- of wangslijmmonsters, het vastleggen van de positieve uitslagen van deze monsters door de arbodienst, het verstrekken van gegevens aan de werkgever (HR of leidinggevende) over de (positieve) uitslag van de test en het eventueel registeren van een overtreding door de werkgever in het personeelsdossier van betrokkenen. Al deze handelingen zijn verwerkingen van persoonsgegevens. Volgens de AP heeft de werkgever geen wettelijke grondslag die de verwerking van de medische gegevens rechtvaardigt.

Gegevens betreffende iemands gezondheid tijdens aanbestedingen

Ook als aanbestedende dienst moet u goed opletten of u niet onnodig bijzondere persoonsgegevens verwerkt in uw aanbestedingsdocumentatie. Dit heeft de Autoriteit Persoonsgegevens (AP) vermeld in haar brief [link brief: https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/brief_aan_vng_anoniem.pdf] naar de Vereniging van Nederlandse Gemeenten. Aanleiding voor deze brief was het feit dat een aantal gemeenten in hun vraag naar Wmo-vervoer adresgegevens, geboortedata, schoollocaties en een aanduiding van de beperkingen van inwoners had opgenomen. De gegevens omtrent de beperkingen zijn bijzondere persoonsgegevens en daarnaast is het niet proportioneel dat zoveel gegevens in de aanbestedingsdocumentatie worden opgenomen.

Gegevens betreffende iemands gezondheid: assessments

Veel organisaties maken gebruik van een assessment tijdens (interne) sollicitatieprocedures.

Indien uw organisatie ook gebruik maakt van een assessment tijdens de sollicitatieprocedure, wees er dan van bewust dat het assessmentbureau eventueel bijzondere gegevens verwerkt en daar een wettelijke grondslag voor nodig heeft. De AP heeft geoordeeld [link: https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-verwerking-bijzondere-persoonsgegevens-door-braincompass-strijd-met-privacywet] dat een assessmentbureau dat naast psychologische gegevens ook DNA verzamelt, geen wettelijke grondslag had voor het verwerken van die bijzondere gegevens, zoals gegevens betreffende iemands ras of gezondheid (zowel fysiek als psychologisch). De AP stelt expliciet dat niet alle assessmentbureaus wettelijke grondslag missen. Als organisatie is het van belang dat u goed op let welke persoonsgegevens worden verzameld en op welke manier de gegevens worden verwerkt, op welke manier toestemming wordt gevraagd en hoe de gegevens worden beveiligd.

Verwerken van het BSN

Als niet-overheidsorganisatie mag u een BSN niet verwerken. De AP heeft in 2017 in meerdere gevallen aangegeven dat het verwerken van het BSN in strijd is met de privacywetgeving. Een transportbedrijf controleerde de identificatiedocumenten van vrachtwagenchauffeurs die goederen kwamen leveren of ophalen. Zo verwerkte het bedrijf ook het BSN van de vrachtwagenchauffeurs. Het BSN is een uniek nummer wat direct herleidbaar is tot een persoon en tevens gevoelig is voor identiteitsfraude. Voor deze verwerking bestond geen wettelijke grondslag.

Verwerkt u op dit moment het BSN van werknemers, klanten of derden? Ga dan na of u een wettelijke grondslag heeft om dit bijzondere persoonsgegeven te verwerken. [link: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/burgerservicenummer-bsn]

Wat verandert er voor uw organisatie onder de AVG?

Onder de AVG zullen genetische gegevens en biometrische gegevens ook vallen onder de bijzondere persoonsgegevens. Strafrechtelijke gegevens gelden niet meer als bijzondere persoonsgegevens, maar vormen een aparte categorie. Voor de verwerking van het BSN, in de UAVG ‘nationaal identificatienummer’ genoemd, blijven de regels hetzelfde als onder de Wbp. De verwerking van de bijzondere persoonsgegevens kan alleen onder een van de genoemde uitzonderingen.

Indien uw organisatie op grote schaal één of meerdere bovengenoemde persoonsgegevens verwerkt en dit een kernactiviteit vormt voor uw organisatie, zal uw organisatie het volgende moeten regelen onder de AVG:

  • Allereerst dient u een Functionaris Gegevensbescherming (FG) aan te stellen. Voor zorgaanbieders geldt deze eis al sinds 1 juli 2017. De FG houdt toezicht op de toepassing en het naleven van de AVG.
  • Daarnaast dient uw organisatie een Data Protection Impact Assessment (DPIA) te voeren voor elke nieuwe verwerking die nog niet is gecontroleerd via DPIA. Een DPIA is een tool waarbij vooraf de privacyrisico’s van een gegevensverwerking worden ingeschat. Vervolgens kan worden bepaald welke maatregelen uw organisatie kunt treffen om de risico’s te verkleinen.

Wilt u meer weten over de verwerking van bijzondere persoonsgegevens en wat de eventuele gevolgen daarvan zijn binnen uw organisatie, neem dan contact op met het IT- en privacy team [link] van Ploum.

 

Lees meer artikelen in deze reeks:

Voor meer vragen over dit onderwerp kunt u terecht bij ons IT- en privacy team.