Privacywetten over de hele wereld, zoals de GPDR in Europa, hebben een broodnodig kader geschapen voor het verzamelen, gebruiken en opslaan van persoonsgegevens. Als bedrijf kunt u niet met gegevens omgaan zoals u wilt. Dit geldt des te meer voor bijzondere categorieën van persoonsgegevens, die vanwege hun aard bijzondere aandacht krijgen.
👀 In dit artikel kijken we naar de GDPR-definitie van speciale categorieën en hoe u met dit soort gegevens moet omgaan.
Met de uitdrukking “bijzondere categorieën van persoonsgegevens” verwijst de GDPR naar gevoelige gegevens. Zij worden in artikel 9 van de GDPR gedefinieerd als gegevens die van:
🔍 Lees ons artikel voor een overzicht van wat overal ter wereld als gevoelige persoonlijke informatie wordt beschouwd.
Zoals uit de bovenstaande beschrijving blijkt, kunnen gevoelige persoonsgegevens worden beschouwd als meer “ingrijpend” of “risicovol” dan gewone persoonsgegevens.
Met name gevoelige informatie zou kunnen leiden tot zaken als discriminatie van personen. Daarom moet u nog voorzichtiger zijn om blootstelling van gevoelige gegevens te voorkomen.
🚀 Doe deze gratis quiz van 1 minuut om erachter te komen!
Volgens de GDPR moet u voor het verzamelen of verwerken van elk type persoonsgegevens beschikken over uitdrukkelijke en geïnformeerde toestemming van personen, alsook de nodige bekendmakingen geven via een privacybeleid.
Hoewel deze vereisten van toepassing zijn op persoonsgegevens in het algemeen, zijn er enkele GDPR-vereisten die specifiek van toepassing zijn op speciale categorieën van persoonsgegevens. Hieronder staan 3 gevallen.
🇺🇸 Het behoeft geen betoog dat de omgang met gevoelige gegevens ook buiten Europa om strengere regels vraagt!
👉 Bekijk ons overzicht van de privacywetgeving van de VS-staten
Een functionaris voor gegevensbescherming (DPO) wordt gewoonlijk door een bedrijf aangesteld om ervoor te zorgen dat persoonsgegevens worden verwerkt volgens de toepasselijke gegevensbeschermingsregels.
Krachtens artikel 37 van de GDPR bent u wettelijk verplicht een DPO aan te wijzen als u bepaalde soorten verwerkingsactiviteiten uitvoert, waaronder wanneer uw kernactiviteiten bestaan uit grootschalige verwerking van gevoelige gegevens.
💡 Dit betekent dat als de GDPR op u van toepassing is en u op grote schaal bijzondere categorieën persoonsgegevens verwerkt, u een DPO moet aanstellen.
Vergelijkbaar met de vorige DPO-eis vereist de GDPR vooral dat u een DPIA uitvoert wanneer u op grote schaal bijzondere categorieën persoonsgegevens verwerkt.
Met een gegevensbeschermingseffectbeoordeling kunt u de risico’s van de verwerking van persoonsgegevens analyseren en tot een minimum beperken.
Hier is een gratis sjabloon dat we hebben op DPIA. Klik hier om het te bekijken!
Ook onder de GDPR zijn voor de verwerking verantwoordelijken en verwerkers uitdrukkelijk verplicht een “volledige en uitgebreide” actuele registratie bij te houden van de gegevensverwerkingsactiviteiten van het bedrijf wanneer het gaat om de verwerking van bijzondere categorieën gegevens.
Dit kan een hele uitdaging zijn om uit te voeren!
🚀 Daarom raden wij u aan een speciale tool te gebruiken, zoals ons Register van de gegevensverwerkingsactiviteiten. Hiermee kun je verwerkingsactiviteiten toevoegen uit meer dan 1700 vooraf gemaakte opties, ze onderverdelen per gebied, verwerkers en andere ledenrollen toewijzen, en rechtsgrondslagen en andere GDPR-vereiste records documenteren.
