De AVG en persoonsgegevens

De AVG staat voor Algemene Verordening Gegevensbescherming en beschermt uw persoonsgegevens. Persoonsgegevens zijn gegevens van een natuurlijk persoon zoals uzelf. Het zijn gegevens die specifiek en uniek zijn voor u en die zijn van u. Is de achternaam De Jong bijvoorbeeld een persoonsgegeven? Ja, in principe wel. Maar De Jong is de meeste voorkomende achternaam in Nederland, gevolgd door De Vries. Daarom moet er gekeken worden naar de omstandigheden. De achternaam alleen is vaak niet specifiek genoeg, tenzij er bijvoorbeeld maar 1 De Jong werkt bij de warme bakker. In de meeste gevallen gaat het om een combinatie met andere persoonsgegevens of plaats. Elk persoonsgegeven moet dan ook worden beoordeeld of dit leidt naar de persoon die een beroep doet op zijn persoonsgegevens (identificatie). Hoe dit precies zit leest u in dit artikel.

Voorbeeld

Ilona werkt in een schoenenwinkel en haar werkgever verplicht haar een vingerafdruk te geven voor een vingerscan. Met die scan krijg je toegang tot de kassa. Is ze verplicht om hieraan mee te werken?

Wat zijn persoonsgegevens?

Persoonsgegevens worden beschermd door de AVG. Ze gaan over alle informatie over u en dat moet u ruim lezen. Het gaat dus ook over informatie die te herleiden is naar u. Er zijn twee groepen persoonsgegevens:

Algemene persoonsgegevens 

Deze persoonsgegevens mogen worden verwerkt als u daarvoor toestemming hebt gegeven of als er een grondslag aanwezig is voor de verwerking. 

Enkele algemene persoonsgegevens: 

  • Burgerlijk servicenummer (BSN)

  • Rijbewijs nummer

  • Paspoortnummer

  • Voor- en achternaam van de persoon;

  • Adres;

  • Postcode met huisnummer;

  • Woonplaats;

  • Telefoonnummers;

  • Bankgegevens;

  • Personeelsnummer;

  • Kenteken;

  • IP-adres in combinatie met andere gegevens. 

Bijzondere persoonsgegevens 

Deze gegevens worden extra beschermd door de wetgever en mogen niet worden verwerkt, tenzij er sprake is van een wettelijke uitzondering. Ook kunnen deze bijzondere persoonsgegevens niet worden verwerkt zonder uitdrukkelijke toestemming van u. Er kan gedacht worden aan een bepaalde machtssituatie/relatie zoals werkgever en werknemer. 

Enkele bijzondere persoonsgegevens:

  • Ras;

  • Godsdienst;

  • Gezondheid (let op: inclusief vaccinatie);

  • Lidmaatschap van een vakbond of politieke partij;

  • Genetisch (DNA en RNA) of biometrische gegevens met oog op unieke identificatie (gezichtsafbeelding (alleen via technische middelen voor identificatie anders namelijk portretrecht), 

  • Irisscan;

  • Stemherkenning;

  • Handtekening;

  • Toetsaanslag-patronen;

  • Bepaalde manier van lopen;

  • Spreken en bewegen

  • Vingerafdruk;

  • Seksuele leven; 

  • Strafrechtelijk verleden. 

De bijzondere persoonsgegevens worden extra beschermd. Vooral de biometrische gegevens, omdat deze meer informatie bevatten dan nodig is bij identificatie. Uit deze gegevens kunnen de gezondheidstoestand, het ras en bepaalde ziektes zoals beroertes worden herkend. Deze gevoelige informatie is niet nodig voor het doel waarvoor zulke persoonsgegevens eventueel bewaard of verwerkt worden. Identiteitsfraude is mogelijk als een irisscan of vingerafdruk in verkeerde handen terecht komt. Een smartphone openen met iemands vinger zonder wettelijke bevoegdheid mag ook niet. In sommige strafzaken wordt dat bewijs ongeldig verklaard.

Om welke redenen mogen uw persoonsgegevens volgens de AVG gebruikt worden?

  1. Uw toestemming om uw persoonsgegevens te gebruiken. In sommige gevallen wordt deze indirect gegeven via een andere partij (hackers), cookies of algemene voorwaarden bij gratis spelletjes of winactie op social media. Hiervoor bent u verantwoordelijk. Lees alles voordat u op akkoord klikt.

  2. Gebruik van de persoonsgegevens om tot een overeenkomst te komen. Dit geldt ook voor een offerte en ook als je online een product koopt. De ondernemer mag daarna niet de persoonsgegevens gebruiken om het koopgedrag van u te analyseren. De ondernemer moet daarvoor eerst weer toestemming hebben, omdat het een ander doel treft. Dit geldt ook als de ondernemer zijn klantenbestand wil verkopen aan een derde. Kortom: voor elk doel moet u toestemming geven en daarom is het van belang om te lezen waarmee u akkoord gaat. De verschillende doelen worden -in de meeste gevallen- omschreven in de kleine lettertjes. 

  3. De wettelijke plicht. Deze geldt voor de algemene persoonsgegevens en voor de bijzondere persoonsgegevens. De grondslag ligt in de wet (nationaal of unierecht). Denk aan registratie BKR of de zorgplicht in de financiële sector. 

  4. Vitale belangen. Ze zijn essentieel voor iemands leven of gezondheid. U kunt zelf niet meer worden gevraagd of u akkoord gaat met de verwerking. Denk aan acuut gevaar of bewusteloosheid. 

  5. Een taak van algemeen belang of openbaar gezag. Denk aan de verwerking door de gemeente van bijvoorbeeld het openbaar cameratoezicht. Uw kenteken kan en mag dan worden opgeslagen voor een bepaalde periode. 

  6. Als laatste een soort rest grondslag. Het gerechtvaardigd belang waarbij men een belangenafweging moet maken. Weegt het belang van verwerking van de persoonsgegevens door de ondernemer zwaarder dan uw belang? 

Terug naar het voorbeeld van de schoenenwinkel

De verkoopmedewerker uit het voorbeeld met de vingerscan hierboven, mag weigeren een vingerafdruk af te geven. Een vingerafdruk behoort namelijk tot de bijzondere persoonsgegevens en mag niet worden verwerkt door werkgever. Er is namelijk geen bepaling in de wet die daarvoor toestemming geeft. In deze zaak heeft de schoenenwinkel een beroep gedaan op een uitzonderingsbepaling van de AVG. Er werd gesteld dat er sprake was van de authenticatie- beveiligingsdoeleinden in verband met het kassasysteem dat beveiligd moest worden vanwege gevoelige informatie zoals financiële informatie en gegevens van werknemers en klanten. De schoenenwinkel wilde ook fraude van de werknemers tegengaan. De kantonrechter oordeelde dat het gebruiken van een vingerscan-autorisatiesysteem niet noodzakelijk is. Er zijn alternatieven die minder inbreuk maken op de privacy van de werknemers. Denk aan een cijfercode of werknemerspas dan wel een combinatie hiervan.