AVG: wat is een persoonsgegeven en wat niet?

AVG: wat is een persoonsgegeven en wat niet?

Wat is een persoonsgegeven en wat niet? En welke categorieën van persoonsgegevens zijn te onderscheiden? Dit is belangrijk om te kunnen weten of de strengere privacywet AVG wel of niet van toepassing is.

De Algemene verordening persoonsgegevens (AVG) die eind mei is ingegaan, is namelijk alleen van toepassing op de verwerking van gegevens van natuurlijke personen. Deze privacywet, die de Wet bescherming persoonsgegevens heeft vervangen, geeft aan dat een persoonsgegeven alle informatie is met betrekking tot een ‘geïdentificeerde’ of ‘identificeerbare’ natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat ofwel naar een persoon herleidbaar is. De natuurlijke persoon op wie de gegevens betrekking hebben, wordt in de AVG de ‘betrokkene’ genoemd.

Uniek van andere personen

Wil er sprake zijn van persoonsgegevens dan moeten de gegevens allereerst betrekking hebben op een persoon. Een persoon is geïdentificeerd wanneer deze uniek van andere personen binnen een groep te onderscheiden is. Een persoon is identificeerbaar wanneer deze nog niet geïdentificeerd is, maar dit zonder onevenredige inspanning wel mogelijk is. Het gaat daarbij niet om de theoretische mogelijkheid, maar om de vraag of de verwerkingsverantwoordelijke zonder onevenredige inspanning de persoon kan identificeren.

Naam, adres en geboortedatum

Om de identiteit van een persoon vast te stellen, wordt doorgaans gebruik gemaakt van gegevens die een unieke, persoonlijke relatie tot die persoon hebben (identificatoren) zoals een naam, adres en geboortedatum. Deze gegevens zijn in combinatie met elkaar dusdanig uniek voor een bepaalde persoon dat een persoon met grote waarschijnlijkheid geïdentificeerd kan worden.

Uiterlijke kenmerken

Personen kunnen ook geïdentificeerd worden op basis van andere, minder directe identificatoren. Denk hierbij aan uiterlijke kenmerken, zoals foto’s en intranet, en online identificatoren zoals IP-adressen. Hoewel deze gegevens op zich ons meestal nog niet in staat stellen om een persoon te identificeren, kunnen zij door hun onderlinge samenhang of door koppeling aan andere gegevens alsnog leiden tot identificatie. We spreken daarom van ‘indirect identificerende’ gegevens.

AVG voor natuurlijke personen

De AVG is alleen van toepassing op de verwerking van gegevens over natuurlijke personen. Gegevens over organisaties (ondernemingen en dergelijke) zijn géén persoonsgegevens, omdat deze geen betrekking hebben op een natuurlijke persoon. Dit is anders wanneer de organisatie vereenzelvigd kan worden met een natuurlijke persoon. Zo zegt de omzet van een eenmanszaak iets over het inkomen van de eigenaar van de eenmanszaak. Wanneer u gegevens verwerkt van personen binnen een organisatie (bijvoorbeeld medewerkers), dan is er ook sprake van de verwerking van persoonsgegevens. De AVG is niet van toepassing op overleden personen, omdat dit volgens de wet geen natuurlijke personen meer zijn.

Onderscheid persoonsgegevens

De privacywet maakt een onderscheid tussen gewone persoonsgegevens, bijzondere persoonsgegevens en strafrechtelijke persoonsgegevens. Bijzondere en strafrechtelijke persoonsgegevens zijn gegevens die gezien hun aard extra gevoelig zijn.

Bijzondere persoonsgegevens

Wat verstaan we onder bijzondere persoonsgegevens? Denk dan aan persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken, persoonsgegevens waaruit het lidmaatschap van een vakbond blijkt en gegevens over gezondheid. De verwerking van bijzondere persoonsgegevens is overigens verboden, tenzij er een specifieke wettelijke uitzondering van toepassing is, bijvoorbeeld als de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking.

Ook gegevens die in de AVG niet als bijzonder worden gekwalificeerd, kunnen gevoelig zijn. Denk hierbij bijvoorbeeld aan financiële data en burgerservicenummers (BSN) als gevoelig persoonsgegeven. BSN-nummers mogen alleen worden gebruikt voor in specifieke wetgeving omschreven doelen. Met deze gegevens loop je een hoger risico en zullen de beveiligingsmaatregelen navenant moeten zijn.

Strafrechtelijke persoonsgegevens

Wat zijn strafrechtelijke persoonsgegevens? Dat zijn persoonsgegevens die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen

Categoriseren persoonsgegevens

Vaak is niet duidelijk hoe persoonsgegevens kunnen worden gecategoriseerd. De term NAW-gegevens, afgeleid van naam, adres en woonplaats, is over het algemeen wel duidelijk. Lastiger wordt het al met contactgegevens. Uit het schema van de SRA valt goed op te maken hoe persoonsgegevens op een eenvoudige wijze kunnen worden gecategoriseerd. Dit kunt u gebruiken voor het opmaken van het verwerkingsregister en het inschatten van privacy risico’s. 

Pseudonimiseren

Persoonsgegevens kunnen gepseudonimiseerd en geanonimiseerd worden. In het eerste geval is er nog steeds sprake van persoonsgegevens, in het tweede geval niet. Het doel van pseudonimiseren is het verhullen of versleutelen van iemands identiteit voor derden. Het wordt gezien als een goede maatregel om persoonsgegevens te beveiligen. De AVG is niet van toepassing op anonieme gegevens; deze gegevens zijn niet meer terug te voeren op een natuurlijke persoon.