GDPR (2) Speciale categorieën van persoonsgegevens

20 juli 2017

Bij de GDPR draait alles rond de balans tussen je eigen bedoelingen met het verzamelen en gebruiken van persoonsgegevens en het recht van ieder individu op bescherming van zijn of haar persoonlijke levenssfeer. De aard en de hoeveelheid van de verwerkte gegevens moeten daarom altijd in proportie zijn tot het doel.

Binnen het geheel van alle persoonsgegevens zijn er grote gradatieverschillen. Sommige gegevens zijn publiek gekend of zijn zo ruim verspreid en gemakkelijk te vinden dat het bekendraken ervan nauwelijks een probleem oplevert en niet echt als een schending van de privacy kan worden beschouwd. Andere zijn zo vertrouwelijk dat de GDPR ze onderbrengt in ‘special categories’, waarvoor extra regels gelden. Het is dus belangrijk vanaf het eerste ogenblik te beseffen dat te verwerken persoonsgegevens tot een speciale categorie behoren.

De GDPR somt de speciale categorieën daarom expliciet op:

  • Informatie over ras of etnische herkomst
  • Gegevens over iemands godsdienstige of filosofische overtuiging
  • Info over politieke opvattingen van een persoon of over zijn lidmaatschap van een vakbond
  • Gegevens over het seksueel leven of de seksuele geaardheid
  • Medische informatie
  • Biometrische identificatiegegevens en DNA
  • Informatie over wetsovertredingen of strafrechtelijke veroordelingen

Als algemene regel geldt dat je dergelijke informatie best niet verzamelt of verwerkt. Indien dit toch nodig is, moet je de doelstelling en de wettelijke grondslag hiervoor duidelijk vastleggen. Daar zijn specifieke regels voor. In de verschillende stadia van het verwerkingsproces gelden dan eveneens strengere normen: bij de informatiebeveiliging, bij het transfereren van dergelijke gegevens buiten Europa en zeker bij het afhandelen van een eventueel datalek. Daarop zullen we in deze blog nog meermaals terugkomen.

Ook buiten deze speciale categorieën kan er nog altijd een onderscheid gemaakt worden tussen gegevens met een beperkt risico op schending van de privacy en meer gevoelige informatie. Financiële informatie is bijvoorbeeld gevoeliger dan een adres. Gegevens over kinderen moeten altijd extra zorgvuldig behandeld worden.

Als je persoonsgegevens verzamelt en gebruikt, moet je dus altijd de afweging maken of je deze gegevens echt nodig hebt voor het beoogde doel en hoe groot het risico is dat er een inbreuk op iemands privacy zou kunnen ontstaan. Hoe groter het aantal personen en hoe meer gegevens over hen, hoe hoger het risico. Dit is in essentie wat bedoeld wordt met het maken van een privacy impact analyse (PIA). Naargelang de omstandigheden kan daar een heel project voor nodig zijn of volstaat een simpele afweging (die wel geregistreerd moet worden). Dat werken we later in de blog nog verder uit.

Er zijn ook een aantal stappen mogelijk om de te verwerken persoonsgegevens minder gevoelig te maken.

  • De beste oplossing is te werken met anonieme gegevens. Als de data correct geanonimiseerd zijn (dat betekent dat ze niet meer kunnen teruggevoerd worden op individuen), zijn het geen persoonsgegevens meer en is de GDPR niet meer van toepassing. Deze werkwijze wordt waar mogelijk toegepast op gegevens voor wetenschappelijk onderzoek en is eveneens aangewezen voor grootschalige gegevensverwerking voor marketing doeleinden. Eén van de gebruikte methodes is het samenvoegen van gegevens in groepen. Een belangrijke voorwaarde is dan dat het over een voldoende groot aantal gegevens gaat, zodat de groepen steeds meer dan een paar individuen bevatten (50 wordt wel eens als een minimum gesteld). Je moet je ervan bewust zijn dat hoe meer verschillende gegevens verzameld worden, hoe groter de kans is dat door deze te combineren een persoon identificeerbaar is.
  • Een veel gebruikte methode is pseudonimisatie. Bij die werkwijze worden in een gegevensset alle elementen verwijderd die een persoon identificeren en vervangen door een nietszeggende sleutel. Het sleutelbestand wordt afzonderlijk bewaard. Dergelijke gegevens zijn nog steeds persoonsgegevens, want ze hebben betrekking op een identificeerbare persoon. Wel is het zo dat het risico op impact voor een betrokkene aanzienlijk minder is. Pseudonimiseren geldt dus als een goede beveiligingsmaatregel, bijvoorbeeld voor gevoelige gegevens die moeten getransfereerd worden.

De definities van wat persoonsgegevens zijn en welke persoonsgegevens gevoelig zijn of tot speciale categorieën behoren, zijn in de GDPR niet wezenlijk anders dan in de oudere wetgeving omtrent privacy, maar bij alle overwegingen over de betekenis van de GDPR moeten we hiervan uiteraard vertrekken. In de volgende aflevering gaan we dieper in op het verwerken van persoonsgegevens en op de verschillende rollen die de wet onderscheidt. Daar zijn er wel essentiële verschillen tussen de GDPR en de vroegere regelgeving.

 

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe of CIPP/E, een certificering van de IAPP (International Association of Privacy Professionals), de grootste internationale beroepsvereniging van privacy professionals.

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

LOADING