Wat is gevoelige data in de GDPR?

De analyse van Artikel 9(1) AVG toont aan dat "bijzondere categorieën van persoonsgegevens"—algemeen bekend als gevoelige persoonsgegevens—onderworpen zijn aan expliciete verwerkingsverboden, tenzij een van de uitzonderingen onder Artikel 9(2) van toepassing is (Voigt & Von dem Bussche, 2017). De belangrijkste bevindingen identificeren de volgende gegevens als gevoelige gegevens onder de AVG:

• Ras of etnische afkomst
• Politieke opvattingen
• Religieuze of levensbeschouwelijke overtuigingen
• Lidmaatschap van een vakbond
• Genetische gegevens
• Biometrische gegevens met het oog op de unieke identificatie
• Gegevens over gezondheid
• Gegevens met betrekking tot iemands seksleven of seksuele geaardheid

Verwerking van dit soort gegevens is fundamenteel beperkt. De resultaten geven aan dat verwerkingsverantwoordelijken moeten waarborgen:

• Er uitdrukkelijke toestemming is verkregen (tenzij een andere uitzondering van toepassing is)
• De verwerking strikt beperkt is tot de doeleinden vermeld in Artikel 9(2)
• Aanvullende beveiligingsmaatregelen zijn geïmplementeerd, waaronder encryptie en pseudonimisering, om deze soorten gegevens te beschermen. 

De discussie benadrukt verder dat het risico op schade in geval van ongeautoriseerde openbaarmaking aanzienlijk hoger is voor gevoelige gegevens. Dit risico ligt ten grondslag aan de eis van de AVG voor "grotere beveiliging en speciale verwerkingsvereisten" (Voigt & Von dem Bussche, 2017). Biometrische en genetische gegevens identificeren bijvoorbeeld niet alleen personen, maar kunnen ook familierelaties en predisposities onthullen, wat de privacyrisico's vergroot (Kuner et al., 2020).

Samenvattend wordt de aanpak van de AVG met betrekking tot gevoelige persoonsgegevens gekenmerkt door:

• Strikte verboden op verwerking zonder een gekwalificeerde wettelijke basis
• Verplichte beveiligingscontroles die zijn afgestemd op de kritieke aard van de gegevens
• Speciale verplichtingen voor transparantie en verantwoordingsplicht door verwerkingsverantwoordelijken

Onderzoek toont aan dat het niet naleven van de regels met betrekking tot gevoelige persoonsgegevens aanzienlijk hogere handhavingsboetes en reputatierisico's met zich meebrengt.