Het nieuwe regime voor bijzondere persoonsgegevens onder de privacyverordening: wetgever aan zet om bestaande situatie te behouden

15 juli 2016, laatst geüpdatet 11 september 2024
De privacyverordening geeft strenge regels voor de verwerking van bijzondere persoonsgegevens. Op het eerste gezicht lijken de regels strenger dan onder de huidige wetgeving. Bij nadere beschouwing is het de vraag of dat werkelijk zo is. Hoe dan ook is de wetgever aan zet (en liefst snel ook). Bijzondere persoonsgegevensEr gelden bijzondere strenge regels voor de verwerking van zogenaamde bijzondere persoonsgegevens. Onder bijzondere persoonsgegevens wordt onder huidige en toekomstige regels...
Mark Jansen 
Mark Jansen 
Advocaat - Associate Partner
In dit artikel
De privacyverordening geeft strenge regels voor de verwerking van bijzondere persoonsgegevens. Op het eerste gezicht lijken de regels strenger dan onder de huidige wetgeving. Bij nadere beschouwing is het de vraag of dat werkelijk zo is. Hoe dan ook is de wetgever aan zet (en liefst snel ook).

Bijzondere persoonsgegevens

Er gelden bijzondere strenge regels voor de verwerking van zogenaamde bijzondere persoonsgegevens. Onder bijzondere persoonsgegevens wordt onder huidige en toekomstige regels het volgende verstaan:











Wet bescherming persoonsgegevens Verordening (toekomstige systeem)
Gegevens betreffende iemands:

  • godsdienst of levensovertuiging,

  • ras;

  • politieke gezindheid;

  • gezondheid;

  • seksuele leven;

  • lidmaatschap van een vakvereniging;

  • strafrechtelijke gegevens;

  • opgelegde verboden naar aanleiding van onrechtmatig of hinderlijk gedrag.


Persoonsgegevens omtrent:

  • religieuze of levensbeschouwelijke overtuigingen;

  • ras of etnische afkomst;

  • politieke opvattingen;

  • gezondheid, genetische gegevens en biometrische gegevens met het oog op de unieke identificatie van een persoon;

  • gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

  • het lidmaatschap van een vakbond;

  • strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen



Ik heb de volgorde in de rechterkolom bewust wat anders aangehouden dan de volgorde uit de verordening, om te laten zien dat de verschillen tussen huidige en toekomstige regels op dit vlak niet zo groot zijn.

Huidige systematiek

De huidige Wet bescherming persoonsgegevens (Wbp) kent een eenvoudige systematiek als het gaat over de verwerking van bijzondere persoonsgegevens. Artikel 16 Wbp verbiedt de verwerking van die gegevens. Vervolgens staan in de artikelen 17-22 Wbp per categorie bijzondere persoonsgegevens uitzonderingen vermeld (vaak toegespitst op diverse sectoren). Artikel 23 Wbp ten slotte bevat de rest-uitzonderingen zoals toestemming van de betrokkene.

Toekomstige systematiek

Vanaf 25 mei 2018 is de privacyverordening van kracht. De systematiek van de verordening is vergelijkbaar: artikel 9 lid 1 verbiedt de verwerking van bijzondere persoonsgegevens. In het tweede lid staan vervolgens de uitzonderingen beschreven.

Die uitzonderingen zijn, anders dan we in Nederland gewend zijn, niet geformuleerd als uitzonderingen per/soort categorie bijzonder persoonsgegeven. De uitzonderingen zijn bovendien bepaald niet toegespitst op specifieke sectoren van de maatschappij. De vraag is of er daardoor (dus) veel verandert in de toekomst en of er straks minder mag. Zo ontbreekt bijvoorbeeld in het tweede lid de uitzondering voor verzekeraars om bijzondere persoonsgegevens te verwerken.

Vergelijking herkomst beide systemen

De Wbp is gebaseerd op de privacyrichtlijn. De richtlijn kende, net als de verordening, geen sectorale uitzonderingen of uitzonderingen per soort bijzondere persoonsgegevens. De richtlijn was juist opvallend vergelijkbaar aan de verordening op het gebied van uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken. Dit blijkt wanneer de teksten van beide regelingen naast elkaar worden gezet:















































Richtlijn Verordening
Artikel 8 lid 1 sub a) de betrokkene uitdrukkelijk heeft toegestemd in een dergelijke verwerking, tenzij in de wetgeving van de Lid-Staat is bepaald dat het in lid 1 bedoelde verbod niet door toestemming van de betrokkene ongedaan kan worden gemaakt; of Artikel 9 lid 2 sub a) de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in Unierecht of lidstatelijk recht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven;
Artikel 8 lid 1 sub b) de verwerking noodzakelijk is met het oog op de uitvoering van de verplichtingen en de rechten van de voor de verwerking verantwoordelijke inzake arbeidsrecht, voor zover zulks is toegestaan bij de nationale wetgeving en deze adequate garanties biedt; of Artikel 9 lid 2 sub b) de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt;
Artikel 8 lid 1 sub c) de verwerking noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een andere persoon indien deze lichamelijk of juridisch niet in staat is van zijn instemming te getuigen; of Artikel 9 lid 2 sub c) de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven;
Artikel 8 lid 1 sub d) de verwerking wordt verricht door een stichting, een vereniging, of enige andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van hun gerechtvaardigde activiteiten en met de nodige garanties, mits de verwerking uitsluitend betrekking heeft op de leden van de stichting, de vereniging of de instantie of op de personen die in verband met haar streefdoelen regelmatige contacten met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen aan derden worden doorgegeven; of Artikel 9 lid 2 sub d) de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt;
Artikel 8 lid 1 sub e) de verwerking betrekking heeft op gegevens die duidelijk door de betrokkene openbaar zijn gemaakt of noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte. Artikel 9 lid 2 sub e) de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;Artikel 9 lid 2 sub f) de verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid;
Artikel 8 lid 3. Lid 1 is niet van toepassing wanneer de verwerking van de gegevens noodzakelijk is voor de doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen of het beheer van gezondheidsdiensten en wanneer die gegevens worden verwerkt door een gezondheidswerker die onderworpen is aan het in de nationale wetgeving, of in de door nationale bevoegde instanties vastgestelde regelgeving, vastgelegde beroepsgeheim of door een andere persoon voor wie een gelijkwaardige geheimhoudingsplicht geldt. Artikel 9 lid 2 sub h) de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker en behoudens de in lid 3 genoemde voorwaarden en waarborgen;
Artikel 8 lid 4. Mits passende waarborgen worden geboden, mogen de Lid-Staten om redenen van zwaarwegend algemeen belang bij nationale wet of bij een besluit van de toezichthoudende autoriteit nog andere afwijkingen naast die bedoeld in lid 2 vaststellen. Artikel 9 lid 2 sub g) de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene;
Artikel 9 lid 2 sub i) de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim;
Artikel 9 lid 2 sub j) de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.
Artikel 9 lid 4. De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid handhaven of invoeren.

Oude systematiek vs. Wbp

Zoals hierboven te zien is, kende de richtlijn geen sectorale uitzonderingen. Toch zijn er sectorale uitzonderingen in de Wbp terecht gekomen. Hoe zit dit?

In de memorie van toelichting bij de Wbp is het volgende te lezen:
Artikel 8 van de richtlijn is in het wetsvoorstel gemplementeerd in de artikelen 16 tot en met 23. Artikel 16 vormt de basisbepaling. Zij is conform de richtlijn geconstrueerd als een verbod om de in dat artikel aangeduide gegevens te verwerken, tenzij aan bepaalde voorwaarden is voldaan. In artikel 23, eerste lid, onder e, wordt voorts in algemene zin aangegeven om welke voorwaarden het gaat. Verwerking is slechts toegestaan indien dat noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen ter bescherming van de persoonlijke levenssfeer worden geboden en dat bij wet is bepaald of de Registratiekamer daarmee bij beschikking heeft ingestemd.

De artikelen 17 tot en met 22 bevatten vervolgens volgens het geschetste stramien per categorie gevoelige gegevens de regeling van diverse situaties waarin een ontheffing geldt van het verbod als bedoeld in artikel 16. De artikelen betreffen concrete situaties en sectoren in de samenleving alsmede de verschillende soorten gevoelige gegevens. Specifiek wordt aangegeven wanneer en onder welke voorwaarden een ontheffing van het verbod geldt. In deze concrete gevallen heeft de wetgever reeds een afweging gemaakt van het belang van de verwerking van gegevens enerzijds en het belang van de bescherming van de persoonlijke levenssfeer van de betrokkene anderzijds. Zoals gezegd laat dit onverlet dat steeds ook voldaan zal moeten worden aan de algemene beginselen van gegevensverwerking zoals geregeld in het wetsvoorstel.

Met name de zin dat de wetgever de afweging heeft gemaakt valt hier op. Kennelijk was de gedachte van de wetgever destijds dat de sectorale uitzonderingen te scharen waren onder lid 4 van artikel 8 van de privacyrichtlijn.

In die lijn zie je in de toelichting op de diverse sectorale uitzonderingen regelmatig het volgende in de toelichting staan:
Deze bepaling is gebaseerd op artikel 8, vierde lid, van de richtlijn.

Of woorden van gelijke strekking.

De wetgever was kennelijk destijds van mening dat het aan haarzelf was om te bepalen of er een reden was om een uitzondering te introduceren op het verbod om bijzondere persoonsgegevens te verwerken.

Nieuwe systematiek vs. verordening

Op voorhand zou ik menen dat dit onder de verordening niet wezenlijk anders is. Wat vroeger in artikel 8 lid 4 privacyrichtlijn stond, komt immers min of meer terug in artikel 9 lid 2 sub g van de privacyverordening.

Er zou nog kunnen worden betoogd dat " passende waarborgen" (uit de richtlijn) iets anders is dan kaders waarbij " de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene" (uit de verordening). Mijn indruk is echter dat hier (in bijna 20x zoveel woorden) min of meer hetzelfde staat.

Een verschil is wellicht nog wel dat het Hof van Justitie een verordening wellicht iets anders benadert dan een richtlijn. Deze privacyverordening bevat echter zoveel verwijzingen naar nationaal recht, dat het de vraag is of deze verordening niet in ieder geval deels als richtlijn functioneert. Het is echter afwachten hoe het Hof daarover denkt.

Resume

Mijn voorlopige conclusie is simpel: de wetgever is aan zet om de ruimte te pakken die de verordening lijkt te bieden. Doet de wetgever dit niet, dan komen diverse sectoren van de maatschappij (verzekeraars, banken, scholen, etc.) straks onder de nieuwe regels in een heel lastig parket terecht. Zij mogen dan immers opeens, op straffe van hele forse boetes, geen bijzondere persoonsgegevens meer verwerken terwijl ze dat nu wel mogen.

 

Gerelateerd

Gebalanceerde stenen

Langjarige samenwerkingscontracten: het nut van een goede balansbepaling

Samenwerkingscontracten worden vaak voor langere tijd (>5 jaar) aangegaan. Vaak wordt een bepaalde mate van exclusiviteit afgesproken maar dat kan ook gaan...
vrouw justitia

De (bijzondere) zorgplicht van de IT-leverancier: een overzicht

Welke inspanning mag van een IT-leverancier verwacht worden? De beantwoording van die vraag wordt gekleurd door de zorgplicht van een IT-leverancier. En deze...

Hoe goed is jouw bedrijf beveiligd?

Alle computerschermen op zwart, een natuurramp, of een inbraak midden in de nacht. Het is de nachtmerrie van iedere bestuurder. Voor belangrijke organisaties,...

Opnieuw verbod op tracking cookies in kort geding

Nadat onlangs Criteo al een verbod kreeg om tracking cookies te plaatsen zonder toestemming, is nu ook aan Microsoft, LinkedIn, MIOL en Xandr een verbod...

Aandachtspunten bij het gebruik van AI in de zorg (deel II)

Artificial Intelligence (AI) is een gamechanger voor de gezondheidszorg. Voor een sector die kampt met personeelstekorten en groeiende kosten, kan...

Verplichte basisverzekering arbeidsongeschiktheid voor zelfstandigen: een stap dichterbij een gelijker speelveld voor werknemers en zelfstandigen met huidig wetsvoorstel?

Op 11 juni 2024 is de internetconsultatie gestart voor het wetsvoorstel Wet basisverzekering arbeidsongeschiktheid zelfstandigen.
No posts found