Wat is een persoonsgegeven en wat niet? En welke categorieën van persoonsgegevens zijn te onderscheiden? Dit is belangrijk om te kunnen weten of de strengere privacywet AVG wel of niet van toepassing is.
De Algemene verordening persoonsgegevens (AVG) is namelijk alleen van toepassing op de verwerking van gegevens van natuurlijke personen. Deze privacywet, die de Wet bescherming persoonsgegevens heeft vervangen, geeft aan dat een persoonsgegeven alle informatie is met betrekking tot een ‘geïdentificeerde’ of ‘identificeerbare’ natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat ofwel naar een persoon herleidbaar is. De natuurlijke persoon op wie de gegevens betrekking hebben, wordt in de AVG de ‘betrokkene’ genoemd.
UNIEK VAN ANDERE PERSONEN
Wil er sprake zijn van persoonsgegevens, dan moeten de gegevens allereerst betrekking hebben op een persoon. Een persoon is geïdentificeerd wanneer deze uniek van andere personen binnen een groep te onderscheiden is. Een persoon is identificeerbaar wanneer deze nog niet geïdentificeerd is, maar dit zonder onevenredige inspanning wel mogelijk is. Het gaat daarbij niet om de theoretische mogelijkheid, maar om de vraag of de verwerkingsverantwoordelijke zonder onevenredige inspanning de persoon kan identificeren.
NAAM, ADRES EN GEBOORTEDATUM
Om de identiteit van een persoon vast te stellen, wordt doorgaans gebruik gemaakt van gegevens die een unieke, persoonlijke relatie tot die persoon hebben (identificatoren) zoals een naam, adres en geboortedatum. Deze gegevens zijn in combinatie met elkaar dusdanig uniek voor een bepaalde persoon dat een persoon met grote waarschijnlijkheid geïdentificeerd kan worden.
UITERLIJKE KENMERKEN
Personen kunnen ook geïdentificeerd worden op basis van andere, minder directe identificatoren. Denk hierbij aan uiterlijke kenmerken, zoals foto’s en intranet, en online identificatoren zoals IP-adressen. Hoewel deze gegevens op zich ons meestal nog niet in staat stellen om een persoon te identificeren, kunnen zij door hun onderlinge samenhang of door koppeling aan andere gegevens alsnog leiden tot identificatie. We spreken daarom van ‘indirect identificerende’ gegevens.
AVG VOOR NATUURLIJKE PERSONEN
De AVG is alleen van toepassing op de verwerking van gegevens over natuurlijke personen. Gegevens over organisaties (ondernemingen en dergelijke) zijn géén persoonsgegevens, omdat deze geen betrekking hebben op een natuurlijke persoon. Dit is anders wanneer de organisatie vereenzelvigd kan worden met een natuurlijke persoon. Zo zegt de omzet van een eenmanszaak iets over het inkomen van de eigenaar van de eenmanszaak. Wanneer u gegevens verwerkt van personen binnen een organisatie (bijvoorbeeld medewerkers), dan is er ook sprake van de verwerking van persoonsgegevens. De AVG is niet van toepassing op overleden personen, omdat dit volgens de wet geen natuurlijke personen meer zijn.
ONDERSCHEID PERSOONSGEGEVENS
De privacywet maakt een onderscheid tussen gewone persoonsgegevens, bijzondere persoonsgegevens en strafrechtelijke persoonsgegevens. Bijzondere en strafrechtelijke persoonsgegevens zijn gegevens die gezien hun aard extra gevoelig zijn.
Bijzondere persoonsgegevens
Wat verstaan we onder bijzondere persoonsgegevens? Denk dan aan persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken, persoonsgegevens waaruit het lidmaatschap van een vakbond blijkt en gegevens over gezondheid. De verwerking van bijzondere persoonsgegevens is overigens verboden, tenzij er een specifieke wettelijke uitzondering van toepassing is, bijvoorbeeld als de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking.
Ook gegevens die in de AVG niet als bijzonder worden gekwalificeerd, kunnen gevoelig zijn. Denk hierbij bijvoorbeeld aan financiële data en burgerservicenummers (BSN) als gevoelig persoonsgegeven. BSN-nummers mogen alleen worden gebruikt voor in specifieke wetgeving omschreven doelen. Met deze gegevens loop je een hoger risico en zullen de beveiligingsmaatregelen navenant moeten zijn.
Strafrechtelijke persoonsgegevens
Wat zijn strafrechtelijke persoonsgegevens? Dat zijn persoonsgegevens die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen
CATEGORISEREN PERSOONSGEGEVENS
Vaak is niet duidelijk hoe persoonsgegevens kunnen worden gecategoriseerd. De term NAW-gegevens, afgeleid van naam, adres en woonplaats, is over het algemeen wel duidelijk. Lastiger wordt het al met contactgegevens. Uit onderstaande afbeelding valt goed op te maken hoe persoonsgegevens op een eenvoudige wijze kunnen worden gecategoriseerd. Dit kunt u gebruiken voor het opmaken van het verwerkingsregister en het inschatten van privacyrisico’s.
PSEUDONIMISEREN
Persoonsgegevens kunnen gepseudonimiseerd en geanonimiseerd worden. In het eerste geval is er nog steeds sprake van persoonsgegevens, in het tweede geval niet. Het doel van pseudonimiseren is het verhullen of versleutelen van iemands identiteit voor derden. Het wordt gezien als een goede maatregel om persoonsgegevens te beveiligen. De AVG is niet van toepassing op anonieme gegevens; deze gegevens zijn niet meer terug te voeren op een natuurlijke persoon.
Lees meer over de AVG
Inzage personeelsdossier voor werknemer
Werknemers hebben op grond van de AVG het recht om hun persoonsgegevens in te zien. Hoe moet u hieraan meewerken? Welke gegevens moet u verplicht laten zien?
Voldoe in 5 stappen aan de AVG
Bedrijven en organisaties die werken met persoonsgegevens moeten rekening houden met de AVG (ook kleine mkb’ers en zzp’ers). In 5 stappen bent u AVG-proof.
Hoe beveilig ik mijn persoonsgegevens?
U moet volgens de strengere privacywet AVG uw persoonsgegevens op een juiste en doeltreffende manier beveiligen. Op welke wijze geeft u daar invulling aan?
Persoonsgegevens bewaren
Volgens de AVG mag u persoonsgegevens niet langer bewaren dan nodig voor het doel waarvoor u ze heeft verzameld. Daarna moet u de gegevens vernietigen.
Register van verwerkingen
De belangrijkste eis in de AVG is de verantwoordingsplicht. Dit houdt in dat u bepaalde zaken moet hebben ingericht om de naleving van de AVG aan te kunnen tonen.
Kleine ondernemer niet meteen beboet
Kleine ondernemers en organisaties hoeven niet bang te zijn dat ze direct beboet worden als ze nog niet volledig voldoen aan de AVG.
Vraag toestemming voor gebruik foto's!
Gebruikt u foto’s van werknemers of klanten voor uw website of voor nieuwsbrieven? Dan moet u expliciet toestemming krijgen. Aan welke voorwaarden moet die toestemming voldoen?
Omgaan met incidenten en datalekken
De AVG schrijft voor dat uw organisatie inbreuken in verband met de verwerking van persoonsgegevens (datalekken) moet melden. Waaraan moet u precies voldoen?
AVG-regels als uw werknemer vertrekt
Gaat uw werknemer (die beschikt over belangrijke persoons- en privacygevoelige gegevens) het bedrijf verlaten? Neem dan maatregelen en maak goede afspraken met uw (ex-)werknemer.
Verwerkersovereenkomst
U mag voor de verwerking van persoonsgegevens uitsluitend een beroep doen op leveranciers die voldoen aan de vereiste technische en organisatorische (beveiligings)maatregelen.
Datalekken, wat leren we ervan?
In 2018 zijn er 20.881 datalekken aan de Autoriteit Persoonsgegevens gemeld. Wat kunnen we hiervan leren?