Wij verwerken gezondheids- of religieuze gegevens, mag dat zomaar?
Bijzondere categorieen onder AVG artikel 9 mag je alleen verwerken bij een specifieke uitzondering, zoals uitdrukkelijke toestemming, een arbeidsrechtelijke verplichting of zorgverlening.
Probeer dit eerst zelf
- 1Inventariseer waar bijzondere categorieen voorbij komen: ziekteverzuim, allergieen voor catering, lidmaatschap van een vakbond, biometrie voor toegang, voorkeuren in een diversiteitsenquete.
- 2Kies per verwerking de juiste uitzondering uit artikel 9 lid 2. Voor ziekteverzuim is dat doorgaans de arbeidsrechtelijke uitzondering, met de bedrijfsarts als verwerker.
- 3Beperk wie het kan zien. Ziekteverzuim hoort niet bij de hele HR-afdeling, alleen bij de strikt nodige rollen.
- 4Documenteer extra: hogere beveiligingseisen, kortere bewaartermijnen waar mogelijk, en een DPIA als de verwerking grootschalig of structureel is.
- 5Train de mensen die ermee werken in wat ze wel en niet mogen vastleggen. Een aanleiding voor ziekmelding mag bijvoorbeeld in veel gevallen niet door HR worden geregistreerd.
Wanneer ons inschakelen
Werk je grootschalig met gezondheidsgegevens, biometrie of strafrechtelijke data, dan is een DPIA en juridische review niet optioneel.
Zie ook
- Valt mijn bedrijf onder NIS2 of niet?Twee vragen bepalen het: zit je in een aangewezen sector, en haal je de drempel uit Aanbeveling 2003/361/EG (meer dan 50 fte en meer dan 10M omzet of balans). Daaronder val je alleen indirect, via je klanten. De drempel maakt je belangrijke of essentiele entiteit afhankelijk van sector.
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2 en treedt gefaseerd in werking. Controleer NCSC voor de actuele inwerkingtredingsdatum en lagere regelgeving.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.