Wat valt onder de categorie bijzondere persoonsgegevens?

Wat valt onder bijzondere persoonsgegevens? De lijst

Het correct identificeren van wat valt onder bijzondere persoonsgegevens is essentieel om zware financiële sancties te voorkomen. Onjuiste verwerking van gevoelige informatie leidt tot ernstige juridische aansprakelijkheid en reputatieschade voor organisaties. Het begrijpen van deze strikte privacyregels helpt u om gegevens veilig te beheren en onbedoelde overtredingen te vermijden.

Kort antwoord: dit zijn de bijzondere persoonsgegevens volgens de AVG

Bijzondere persoonsgegevens zijn gegevens die zó privacygevoelig zijn dat de wet (AVG) de verwerking ervan in principe verbiedt. Het gaat om informatie waaruit bijvoorbeeld je ras, gezondheid of religie blijkt. Verwerken mag alleen als je aan strikte wettelijke uitzonderingen voldoet. De complete lijst bijzondere persoonsgegevens avg staat in Artikel 9.

Laten we eerlijk zijn: voor ondernemers is dit vaak een mijnenveld. Je wilt bijvoorbeeld eenvoudig een nieuwsbrief sturen of een klantenlijst bijhouden, maar zodra je per ongeluk een biometrische vingerafdruk scant of een kopie van een ID-bewijs opslaat, zit je zomaar in de gevarenzone. De Autoriteit Persoonsgegevens kan hier boetes voor opleggen die oplopen tot tienduizenden of zelfs miljoenen euros, afhankelijk van de overtreding. ^[1]

De volledige lijst: welke 8 categorieën vallen eronder?

Hieronder vind je de acht officiële categorieën bijzondere persoonsgegevens zoals de AVG die opsomt. Dit is geen interpretatie, maar de letterlijke tekst uit de wet. Elke categorie heeft een eigen risico, van discriminatie tot identiteitsfraude.

1. Ras of etnische afkomst

Gegevens over ras, huidskleur of afkomst vallen hieronder. Dit betekent niet dat je niet mag vragen naar iemands nationaliteit (dat is een gewoon persoonsgegeven). Maar zodra je bijvoorbeeld registreert dat iemand van Roma-afkomst is, of etnische achtergrond vastlegt in een personeelsdossier, ben je verboden terrein aan het betreden. Het risico op discriminatie is hier levensgroot.

2. Politieke opvattingen

Denk aan lidmaatschap van een politieke partij, stemgedrag of actieve betrokkenheid bij politieke bewegingen. Een commercieel bedrijf heeft hier zelden een legitieme reden voor. Uitzonderingen zijn bijvoorbeeld politieke partijen zelf die ledenadministratie bijhouden.

3. Religieuze of levensbeschouwelijke overtuigingen

Dit omvat niet alleen wereldgodsdiensten zoals christendom, islam of jodendom, maar ook humanistische overtuigingen of filosofische levensvisies. Stel dat je een enquête houdt onder klanten en vraagt naar hun geloof om gericht te adverteren, dan overtreed je de wet. Religieuze instellingen mogen gegevens van leden verwerken, maar ook daar zijn grenzen.

4. Lidmaatschap van een vakbond

Vakbondslidmaatschap is bijzonder omdat het iemands arbeidsrechtelijke positie en overtuigingen kan blootleggen. Een werkgever mag niet registreren welke werknemer bij een vakbond zit. De vakbond zelf natuurlijk wel voor de eigen administratie.

5. Genetische gegevens

Denk aan DNA-analyses, erfelijke eigenschappen of gegevens uit genetische tests. Dit is relatief nieuw in de wetgeving, maar door de opkomst van DNA-testkits voor thuisgebruik wordt het steeds relevanter. Ziekenhuizen en onderzoekers mogen dit onder strikte voorwaarden verwerken; commerciële partijen bijna nooit.

6. Biometrische gegevens met als doel unieke identificatie

Dit is de categorie waar de meeste fouten worden gemaakt. Volgens de biometrische gegevens avg definitie zijn dit bijvoorbeeld vingerafdrukken, gezichtsscans, irisscans of handgeometrie (citation:6). Let op: een gewone pasfoto is niet automatisch bijzonder. Pas als je die foto technisch verwerkt met als doel iemand uniek te identificeren (zoals bij gezichtsherkenning op een toegangspoortje), wordt het een bijzonder gegeven (citation:1).

De Autoriteit Persoonsgegevens heeft verduidelijkt dat een pasfoto op een identiteitsbewijs wél als bijzonder persoonsgegeven wordt beschouwd als daaruit ras of etnische afkomst blijkt (citation:1) ^[3]. Het scannen van een vingerafdruk om in te loggen op een telefoon of een toegangsdeur? Dat is dus verwerking van bijzondere gegevens.

7. Gezondheidsgegevens

Dit is veruit de meest voorkomende categorie in de praktijk. Gezondheidsgegevens zijn alle gegevens over iemands fysieke of mentale gezondheidstoestand. Denk aan medische dossiers, informatie over ziekenhuisopnames, maar ook simpele dingen zoals de mededeling dat een werknemer ziek is. Een werkgever mag wel registreren dat iemand ziek is (voor de verzuimadministratie), maar niet wááraan diegene lijdt.^[4] Zodra je specifieke diagnoses noteert, overtreed je de gezondheidsgegevens verwerken regels (citation:7).

8. Seksueel leven of seksuele gerichtheid

Informatie over iemands seksuele voorkeur, seksuele handelingen of relaties valt hieronder. Dit is bijvoorbeeld relevant in medische dossiers (soa-behandeling) of bij onderzoeken, maar voor commerciële doeleinden vrijwel altijd verboden.

Het grote misverstand: is het BSN een bijzonder persoonsgegeven?

Veel mensen vragen zich af: is bsn een bijzonder persoonsgegeven? Nee, het Burgerservicenummer (BSN) is officieel geen bijzonder persoonsgegeven in de zin van Artikel 9 AVG (citation:5). Toch behandelen we het vaak wél als zodanig. Waarom? Het BSN is een gevoelig persoonsgegeven met strikte gebruiksregels (citation:4). Je mag het alleen verwerken als de wet dat specifiek voorschrijft, bijvoorbeeld voor zorgverleners, werkgevers (voor loonbelasting) of overheidsinstanties (citation:9) ^[6]. Een winkelier of webshopeigenaar heeft vrijwel nooit een wettelijke basis om het BSN van klanten te vragen of op te slaan. Het verschil is juridisch technisch, maar voor de praktijk komt het op hetzelfde neer: je mag het BSN niet zomaar gebruiken.

Iets soortgelijks geldt voor strafrechtelijke gegevens. Die vallen formeel buiten de lijst van bijzondere persoonsgegevens, maar kennen in de AVG een eigen, streng regime.

Wat betekent dit voor jouw organisatie?

Het simpele uitgangspunt als het gaat om wat valt onder bijzondere persoonsgegevens: verwerk ze niet. Punt. Maar de praktijk is weerbarstiger. Soms móét je wel, bijvoorbeeld omdat je een zorgverlener bent of omdat werknemers ziek worden.

Checklist: wanneer mag het wél?

Er zijn uitzonderingen op het verwerkingsverbod. De belangrijkste in de praktijk zijn: Uitdrukkelijke toestemming: De betrokkene heeft ondubbelzinnig en specifiek toestemming gegeven. Wettelijke verplichting: De wet verplicht je tot verwerking (denk aan zorgverleners). Vitale belangen: Verwerking is nodig om iemands leven te redden. Eigen administratie: Stichtingen, verenigingen of politieke partijen mogen gegevens van leden verwerken, mits het alleen voor interne doeleinden is.

Toch is toestemming vragen niet altijd de oplossing. De drempel voor uitdrukkelijke toestemming ligt hoog. Een vinkje in een algemene voorwaarden is niet genoeg. Je moet aantoonbaar maken dat iemand bewust en actief heeft ingestemd met de verwerking van zijn gevoeligste gegevens. En zelfs dan blijf je verantwoordelijk voor een goede beveiliging.

Praktijkvoorbeelden: waar gaat het mis?

Hieronder twee realistische scenarios waarin organisaties tegen de regels aanlopen.

Het kopietje van het rijbewijs

Joris heeft een verhuurbedrijf in bouwmachines. Hij vraagt standaard een kopie van het rijbewijs van elke klant voor de administratie. Op dat rijbewijs staan niet alleen naam en adres, maar ook een pasfoto (biometrisch gegeven) en het BSN. Joris denkt dat hij zich indekt tegen wanbetaling, maar in werkelijkheid slaat hij ongemerkt bijzondere persoonsgegevens op zonder wettelijke grondslag. De juiste aanpak? Alleen het BSN onherkenbaar maken en beoordelen of een kopie echt noodzakelijk is. Vaak is het noteren van het rijbewijsnummer voldoende.

Ziekteverzuimregistratie doorgelicht

Marloes is HR-manager bij een marketingbureau. Ze houdt in een Excel-bestand bij waarom medewerkers ziek zijn: Jan - burnout, Fatima - zwangerschapsklachten, Bert - rugklachten na operatie. Ze bedoelt het goed, ze wil collegas kunnen ontzien.

Maar ze overtreedt de AVG. Een werkgever mag namelijk wél bijhouden dat iemand ziek is en of het om kort of lang verzuim gaat, maar niet de medische diagnose. Die gegevens zijn voorbehouden aan de bedrijfsarts. Marloes bestand is een goudmijn voor hackers en een regelrechte schending van de privacy van haar collegas. De oplossing: gebruik een algemene codering zoals ziek of verzuim, zonder medische details.

Wat zijn de risico's bij verkeerd gebruik?

De Autoriteit Persoonsgegevens kan forse boetes opleggen. Vooral als je structureel en zonder goede reden bijzondere gegevens verwerkt, loop je een groot risico. Boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.^[7] In Nederland zien we boetes van tienduizenden euros voor overtredingen met bijzondere gegevens, bijvoorbeeld bij onrechtmatig gebruik van vingerafdrukken of verkeerde verwerking van gezondheidsdata. Daarnaast is er de reputatieschade. Stel je voor dat uitlekt dat jouw bedrijf klanten op etnische afkomst categoriseert. Dat overleef je niet.

Veelgestelde vragen over bijzondere persoonsgegevens

Mag ik een foto van mijn werknemers op de website zetten?

Ja, dat mag, maar het is geen bijzonder persoonsgegeven zolang je de foto niet gebruikt voor unieke identificatie via technische middelen (citation:1). Wel heb je toestemming nodig van de werknemer, omdat het om een afbeelding van een persoon gaat. Zorg voor een modelrelease of een duidelijke toestemmingsverklaring.

Is een vingerafdrukscanner voor de kantine toegestaan?

Bijna nooit. Een vingerafdruk is een biometrisch gegeven. Je mag dit alleen gebruiken als er een zwaarwegende wettelijke uitzondering is, zoals beveiliging van een hoog risicogebied. Een bedrijfskantine valt daar niet onder. Ook als je toestemming vraagt aan medewerkers, is de kans groot dat de AP dit als onvoldoende beschouwt, omdat toestemming in een afhankelijkheidsrelatie (werkgever-werknemer) zelden vrijwillig is. Beter kun je kiezen voor een pasjessysteem.

Hoe lang mag ik gezondheidsgegevens van zieke werknemers bewaren?

De wettelijke bewaartermijn voor verzuimgegevens is twee jaar na afloop van het kalenderjaar waarin het verzuim plaatsvond. Maar let op: je mag alleen de noodzakelijke gegevens bewaren, niet de medische diagnose. De bedrijfsarts bewaart het medische dossier, niet de werkgever.

Wat is het verschil tussen 'gevoelig' en 'bijzonder'?

Bijzondere persoonsgegevens zijn wettelijk gedefinieerd in Artikel 9 AVG (de acht categorieën hierboven). Gevoelig is een informele term voor gegevens die niet bijzonder zijn maar wel extra voorzichtigheid vragen, zoals het BSN, bankgegevens of locatiegegevens (citation:2). Voor gevoelige gegevens gelden geen verboden, maar wel strenge eisen op basis van beveiliging en noodzakelijkheid.

Drie dingen die je morgen kunt doen om veilig te zijn

1. Voer een quick-scan uit: Doorzoek al je digitale mappen en fysieke archieven op termen als BSN, medisch, ziekte, ras, geloof of kopieën van ID-bewijzen. Je zult schrikken wat je tegenkomt. 2. Stel een bewaartermijnenbeleid op: Verwijder alles wat je niet nodig hebt. Hoe minder data, hoe kleiner het risico. 3. Vraag je bij elk nieuw formulier af: Heb ik dit écht nodig? En zo ja, kan ik het op een minder gevoelige manier vastleggen?

Verschil tussen gewone, gevoelige en bijzondere persoonsgegevens

Gewone persoonsgegevens

• Naam, adres, telefoonnummer, e-mailadres, geboortedatum, IP-adres

• Beperkt tot matig (overlast, spam, phishing)

• Verwerking toegestaan op basis van zes grondslagen (toestemming, overeenkomst, etc.)

• Nee, mits grondslag aanwezig

Gevoelige persoonsgegevens

• BSN, financiële gegevens, locatiegegevens, strafrechtelijke gegevens

• Hoog (identiteitsfraude, financieel verlies, discriminatie)

• Alleen verwerking als wet dit specifiek toestaat of verplicht; strenge beveiligingseisen

• Nee, maar wel extra voorwaarden (vaak wettelijke plicht)

Bijzondere persoonsgegevens

• Gezondheid, ras, religie, politiek, biometrie, genetica, seksueel leven, vakbond

• Zeer hoog (discriminatie, uitsluiting, levensbedreigend)

• Verwerking is VERBODEN, tenzij strikte uitzondering van toepassing (Artikel 9 lid 2 AVG)

• JA, met uitzonderingen

Hoe een Brabantse bakker bijna een boete kreeg van 150.000 euro

Henk, eigenaar van een ambachtelijke bakkerij in Den Bosch, wilde het personeelsverzuim beter monitoren. Hij maakte een mapje op de server met 'Medische gegevens personeel' en zette daar alle ziekmeldingen in, inclusief de redenen die medewerkers noemden: 'migraine', 'rugklachten na val', 'burn-out'. Zijn zoon, die ICT studeerde, wees hem erop dat dit niet mocht.

Henk dacht: 'Ach, het is voor eigen gebruik, en we zijn met maar tien man.' Tot de Autoriteit Persoonsgegevens een steekproef aankondigde bij bedrijven in de regio. Hij raakte in paniek. De mogelijke boete? Bij een eerste overtreding kan dat al snel oplopen tot 150.000 euro of meer.

Met hulp van een privacy-adviseur verwijderde Henk alle medische details uit het verzuimregister. Nu noteert hij alleen 'ziek' en de datum. De bedrijfsarts, die hij pas inschakelt bij lang verzuim, bewaart de vertrouwelijke informatie. 'Ik schrok me kapot', zegt Henk. 'Dacht dat ik goed bezig was, maar ik was eigenlijk elke dag de wet aan het overtreden.'

De moraal: goede bedoelingen zijn geen excuus. Zelfs voor een kleine bakkerij gelden dezelfde regels als voor een multinational. De investering in een kort adviesgesprek (500 euro) bespaarde Henk mogelijk een torenhoge boete en een hoop reputatieschade.