Of men het nou AVG of GDRP wenst te noemen, aan het eind van de rit is er werk aan de winkel voor de datum van 25 mei 2018, de datum waarop de AVG wetgeving, de huidige Wbp vervangt. Maar wanneer hebben we te maken met persoonsgegevens, of bijzondere persoonsgegevens.
De afkortingen nog eens op een rij:
- AVG staat voor "Algemene Verordening Gegevensbescherming";
- GDPR is de internationale benaming, en staat voor "General Data Protection Regulation";
- De Wbp, betreft de welbekende "Wet bescherming persoonsgegevens".
De impact van de AVG wet hangt af van de bedrijfsactiviteiten. Zelfs wanneer er enkel een business to business bedrijfsvoering gehanteerd wordt, kan deze AVG-wet aardig wat voeten in de aarde hebben. Bijvoorbeeld al wanneer er op welke manier dan ook inzage verschaft kan worden in bijvoorbeeld persoonsgegevens van je klanten.
Eigenhandig aan de slag met de AVG wetgeving en AVG compliant zijn, zonder juridisch traject? AVG Cloud Register neemt je bij de hand.
AVG persoonsgegevens
Of de wet van toepassing is, kan achterhaald worden door af te vragen of er sprake is van persoonsgegevens. Er is volgens de AVG sprake van persoonsgegevens indien er sprake is van bijvoorbeeld één van onderstaand.
- Direct herleidbare persoonsgegevens;
- Indirect herleidbare persoonsgegevens;
- Mogelijkheid tot herleiding;
- Maar ook indien er sprake is van IP/MAC addressen, cookies, browser & geo informatie van personen/bezoekers.
Bijzondere persoonsgegevens
Wanneer we te maken hebben met bijzondere persoonsgegevens, dan heeft dit aanvullende impact, namelijk:
- er zal per entiteit een wettelijke uitzondering moeten zijn om het te mogen verwerken, verwerking is slechts toegestaan indien het noodzakelijk is met het oog op een zwaarwegend algemeen belang. Let wel, hierbij is er alsnog toestemming nodig;
- er zal per entiteit in een register gedocumenteerd moeten worden, waarom het opgeslagen wordt;
- er zal per entiteit veiligheidsmaatregelen getroffen moeten worden, bijvoorbeeld in de vorm van encryptie of pseudonimisering, schrijft de AVG voor.
Het in kaart brengen van verwerking van persoonsgegevens of bijzondere persoonsgegevens, behoort tot de tien stappen van de AVG.
Categorieën van bijzondere persoonsgegevens
De vraag dient dus gesteld te worden, wanneer er sprake is van bijzondere persoonsgegevens. De AVG geeft aan dat er sprake is van bijzondere persoonsgegevens, indien het in één van de volgende gegevenscategorieën valt:
- Ras;
- Lidmaatschappen;
- Genetische gegevens;
- Politieke gezindheid;
- Biometrische gegevens;
- Strafrechtelijke gegevens;
- Godsdienst/levensovertuiging;
- Gezondheid (fysiek en geestelijk).
Is BSN bijzondere persoonsgegeven?
Naast bovenstaand, zal ook gedacht moeten worden aan meer specifieke entiteiten, zoals:
- Dieetwensen;
- paspoort en creditcard gegevens;
- burger service nummer (BSN).
Overigens, het burger service nummer is onder de AVG geen bijzonder persoonsgegeven, maar voor BSN zal volgens Autoriteit Persoonsgegevens naar verwachting in de toekomst speciale regels komen. De Europese lidstaten mogen onder de AVG zelf voorwaarden stellen aan het verwerken van een nationaal identificatienummer, waaronder dus het BSN. Hierdoor staan de AVG voorwaarden voor Nederland nog niet vast.
Wbp versus AVG
Het onderscheid tussen persoonsgegevens en bijzondere persoonsgegevens is niet nieuw binnen de AVG. Ook onder de huidige Wbp hebben we hiermee te maken. Een datalek van persoonsgegevens moet bijvoorbeeld reeds sinds januari 2016 gemeld worden bij de Autoriteit Persoonsgegevens. Zij hebben tevens beleidsregels opgesteld omtrent het informeren van betrokkenen, in het geval van een datalek.
Vergeet echter niet in het breedste zin van het woord te denken; ook een foto valt onder bijzondere persoonsgegevens, doordat bijvoorbeeld middels een pasfoto een ras of gezondheid achterhaald kan worden.