Betalingen van en naar personen zijn persoonsgegevens. Uit betaalgegevens kunnen bijzondere persoonsgegevens afgeleid worden. Bijzondere persoonsgegevens vragen om extra bescherming. De verwerking van de gegevens is verboden, tenzij sprake is van een wettelijke uitzondering Met het PSD2-me-niet-register willen we rekeninggegevens kunnen filteren van organisaties, waarvan de transactiedata als bijzondere persoonsgegevens aangemerkt moeten worden.
Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare persoon. Bijzondere persoonsgegevens zijn persoonsgegevens die duiden op:
- ras of etnische afkomst,
- politieke opvattingen,
- religieuze of levensbeschouwelijke overtuigingen of
- het lidmaatschap van een vakbond blijken,
- en verwerking van genetische gegevens,
- biometrische gegevens met het oog op de unieke identificatie van een persoon, of
- gegevens over gezondheid, of
- gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid
PSD2-me-niet-register en bijzondere persoonsgegevens
Waarschijnlijk kan het PSD2-me-niet-register niet alle gegevens filteren. Daarom zetten we het PSD2-me-niet-register in dit stadium zo op dat alleen rekeningnummers waar heel duidelijk uit blijkt dat deze op zichzelf al een bijzonder persoonsgegevens vormen, opgenomen worden.
Bijzondere persoonsgegevens zijn vaak 1-op-1 te verbinden aan organisaties. Dit heeft te maken met de manier waarop organisaties worden geregistreerd. Een selectie bij de Kamer van Koophandel leverde 2400 organisaties op die voldeden aan de Sbi codes en bijzondere persoonsgegevens van individuen verwerken.
Relevant zijn de transacties tussen de organisatie en de persoon. De ene keer is dat eenvoudig, denk aan het lidmaatschap van een vakvereniging. Een andere geven transactiedata geen directe informatie, maar kunnen een indictie geven waardoor profilering plaats kan vinden. Denk bijvoorbeeld aan de hoogte en frequentie van afrekeningen bij een apotheek (hoogte, frequentie). Andere bijzondere persoonsgegevens zijn (waarschijnlijk) niet of alleen na interpretatie als bijzonder persoonsgegeven te zien. De meest duidelijke categorie zijn rekeningnummers voor contributiebetalingen, lidmaatschapsbetalingen, donaties aan:
- politieke partijen
- vakverenigingen en vakbonden
- verenigingen die actief zijn rondom seksueel gedrag of seksuele gerichtheid
- religieuze instellingen.
Strafrechtelijke gegevens vragen om nader onderzoek
Strafrechtelijke gegevens zijn onder de AVG geen bijzondere persoonsgegevens. Wel geldt een apart, streng regime waarbij ze alleen door genoemde partijen verwerkt mogen worden. Die extra bescherming geldt wat ons betreft ook voor betalingen aan justitie, zoals het rekeningnummer van het CJIB, omdat deze als strafrechtelijke gegevens gezien kunnen worden. Lees hier meer over in dit artikel.
Een duidelijker strafrechtelijk gegeven dan als je in de gevangenis zit, is er niet. Kan je detentie afleiden uit iemands betalingen? Een gedetineerde heeft een eigen rekening in een penitentiaire inrichting. Overmaken die je naar het rekeningnummer van de locatie met vermelding van het registratienummer, achternaam en voorletter(s) van de gedetineerde. Uit dit gegeven is een detentie af te leiden. We hebben deze rekeningnummers niet opgenomen, omdat het gegeven van de detentie niet de verzender betreft, en de ontvanger slecht te identificeren is.
Gezondheidsgegevens zijn niet direct af te leiden
De gezondheidszorg verdient speciale aandacht omdat betalingen niet altijd direct van een persoon aan een aanbieder van zorg worden gedaan. Je hier wel te maken met patiëntenorganisaties waar mogelijk wel weer bijzondere persoonsgegevens uit af te leiden zijn. Er is een relatie met ROM gegevens, zie deze externe site.
Eigen bijdragen worden voor het CAK verwerkt. Het gaat om het Vaststellen en innen van de eigen bijdrage op grond van de Wet langdurige zorg (Wlz) en de Wet maatschappelijke ondersteuning (Wmo) voor de gemeenten en verrichten van betalingen aan zorgaanbieders op grond van de Wet langdurige zorg (Wlz). Elke regeling heeft een eigen rekeningnummer. Deze nummers zouden opgenomen kunnen worden omdat hier eigen bijdragen uit af te leiden zijn.
Een andere manier is het vinden van een volledig register van zorggerelateerde instellingen. Een centrale plaats is het UZOVI register. UZOVI staat voor Unieke ZorgVerzekeraarsIdentificatie. In het UZOVI-register staan de UZOVI-nummers en andere gegevens van zorgverzekeraars en andere instanties (onder andere gevolmachtigde verzekeringsadviseurs, zorgkantoren, labelorganisaties en nevenvestigingen). Het register bevat actuele en historische informatie. Het UZOVI-nummer om declaraties op de juiste manier en bij de juiste verzekeraar in te dienen. Na navraag blijkt dat dit register geen rekeningnummers registreert.
Soms zijn gewone persoonsgegevens toch bijzonder
Soms zijn gewone persoonsgegevens toch bijzonder. Een voorbeeld hiervan is de uitspraak dat het zijn van sekswerker een bijzonder persoonsgegeven is. Of wat te denken van de uitspraak van de Reclame Code Commissie over likes van een kankerpatiënt op Facebook: binnen de grenzen van de wet, en toch schending van privacy? Deze voorbeelden geven aan hoe vergaand het vraagstuk kan zijn.