Stap 2. Bijzondere persoonsgegevens
Wat zijn bijzondere persoonsgegevens en welke eisen gelden voor de verwerking?
De verwerking van persoonsgegevens die vanwege hun aard gevoelig zijn, brengt grotere risico’s met zich mee voor Betrokkenen. Deze gegevens vereisen daarom een specifieke bescherming. Voor de verwerking ervan gelden daarom strengere regels. Kern hiervan is dat bijzonder persoonsgegevens NIET mogen worden verwerkt, tenzij de regelgeving hiervoor een uitzondering mogelijk maakt.
Om welke gegevens gaat het?
De volgende persoonsgegevens kwalificeren als een ‘bijzonder persoonsgegeven’:
- Ras, of etnische afkomst
- Politieke of religieuze overtuiging
- Lidmaatschap van vakbond
- Genetische of biometrische gegevens met het oog op identificatie van een persoon
- Gezondheidsgegevens
- Gegevens seksueel gedrag/ seksuele gerichtheid.
Let op: het Burgerservicenummer en gegevens over een strafrechtelijke veroordeling en strafbare feiten zijn geen bijzondere gegevens (meer). Wel gelden hiervoor specifieke voorschriften (zie verder onder Niet bijzonder, wel aanvullende regels).
Voor Financieel adviseurs/Bemiddelaars is de categorie ‘gezondheidsgegevens’ relevant. In bepaalde situaties moet er voor het goed kunnen functioneren in de begeleiding van Betrokkenen de mogelijkheid zijn om gezondheidsgegevens te verwerken,
‘Gezondheidsgegevens’ is een breed begrip. Hieronder wordt verstaan: ‘alle gegevens (…) die betrekking hebben op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst’.
Voorbeeld: een uitkeringsbericht met uitsluitend het percentage arbeidsongeschiktheid van een verzekerde die een arbeidsongeschiktheidsuitkering heeft aangevraagd, is een bericht waarin gezondheidsgegevens staan vermeld.
In Nederland gelden in afwijking van de Verordening specifieke regels voor het verwerken van gezondheidsgegevens. Het verbod om gezondheidsgegevens te verwerken is o.a. niet van toepassing als:
- de gegevens worden verwerkt door werkgevers of door instellingen die voor hen werkzaam zijn, voor zover de verwerking noodzakelijk is voor de uitvoering van wettelijke voorschriften, pensioenregelingen, of CAO-afspraken die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de Betrokkene;
Voorbeeld: Financieel adviseurs/Bemiddelaars mogen gezondheidsgegevens verwerken ten behoeve van de werkgever in het kader van een verzuimverzekering over de mate en periode van arbeidsongeschiktheid. Niet toegestaan is gegevens over de aard van de arbeidsongeschiktheid te verwerken.
- de gegevens worden verwerkt door verzekeraars of financiële dienstverleners die bemiddelen in verzekeringen voor zover de verwerking noodzakelijk is voor de uitvoering van de verzekeringsovereenkomst dan wel het assisteren bij het beheer en de uitvoering van de verzekering.
Het verwerken van gezondheidsgegevens is slechts toegestaan voor financieel adviseurs voor zover het noodzakelijk is voor de bemiddelingsactiviteiten c.q. het assisteren bij het beheer en de uitvoering van de verzekering. De uitzondering om gezondheidsgegevens te mogen verwerken geldt gedurende de periode van de verzekeringsovereenkomst.
Let op! Als je gezondheidsgegevens verwerkt moeten de personen die met de gegevens werken een geheimhoudingsplicht hebben, bijv op grond van een wettelijk voorschrift of een overeenkomst (bijv. arbeidsovereenkomst).
Voorbeeld: een Financieel adviseur/Bemiddelaar die op grond van de Wft de eed of belofte heeft afgelegd heeft gezworen of beloofd dat hij alles geheim zal houden, wat hem is toevertrouwd. Wanneer de eed of belofte niet of niet in deze zin is afgelegd, is het noodzakelijk de geheimhouding alsnog via een aparte overeenkomst te regelen.
Niet bijzonder, wel aanvullende regels
Burgerservicenummer (BSN)
Het Burgerservicenummer (BSN) is geen ‘bijzonder’ persoonsgegeven. Wel gelden er specifieke regels voor het gebruik ervan. Het gebruik van BSN is alleen toegestaan in situaties waarin dit in een wet wordt voorgeschreven. Het verwerken van BSN voor andere doelen is alleen toegestaan als:
- dit verenigbaar is met de doeleinden waarvoor het BSN is verkregen; én
- alleen voor zover dit bij wet is bepaald.
Dit houdt concreet in dat je het BSN voor eventuele andere doelen mag gebruiken die door de wetgever zelf zijn vastgesteld. Je hebt op dit punt geen ruimte om eigen afwegingen te maken. Het verwerken van BSN brengt namelijk extra risico’s met zich mee voor de bescherming van de persoonlijke levenssfeer, te denken valt aan identiteitsfraude.
Voorbeeld: de Financieel Adviseur mag het BSN verwerken voor de aanvraag van een bepaald financieel product als een levensverzekering, hypotheek of zorgverzekering. Hij geeft het BSN namens de Betrokkene aan de financiële instelling door. Het is niet toegestaan het BSN voor de eigen administratie te bewaren.
Wil je het BSN verwerken voor overige – eigen - doeleinden, dan zal je (als verwerkingsverantwoordelijke) telkens moeten nagaan of je beschikt over een wettelijke grondslag voor het gebruik van het BSN in die specifieke situatie. Doorgaans zal dit niet het geval zijn.
Strafrechtelijke persoonsgegevens
Gegevens over strafrechtelijke veroordelingen en strafbare feiten zijn geen ‘bijzondere’ persoonsgegeven. Wel gelden er specifieke regels voor het gebruik ervan. Strafrechtelijke gegevens mogen op basis van bepaalde uitzonderingsgronden worden verwerkt. Voor Financieel adviseurs is de belangrijkste uitzonderingsgrond om deze gegevens te verwerken dat de Betrokkene uitdrukkelijk toestemming heeft gegeven voor de verwerking van deze persoonsgegevens voor een of meer welbepaalde doeleinden. Ook mogen deze gegevens worden verwerkt als de Betrokkene de gegevens over strafrechtelijke veroordelingen en strafbare feiten zelf openbaar heeft gemaakt, of wanneer verwerking nodig is voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Ook in de situatie dat verwerking van strafrechtelijke nodig is voor de beoordeling van een verzoek van de Betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren is het toegestaan.
Voorbeeld: bij het aangaan van een verzekering assisteert de Financieel Adviseur de Betrokkene bij het invullen van het aanvraagformulier bij de vraag of de aspirant-verzekerde in de afgelopen 8 jaar als verdachte of voor de uitvoering van een strafmaatregel nog in aanraking geweest met politie of justitie voor diefstal, verduistering, mishandeling, afpersing, overtreding vuurwapenwet etc.