Specialisten in de bescherming van uw gegevens

Wat zijn persoonsgegevens nu precies en wat valt daar allemaal onder?

De komst van de Algemene verordening gegevensbescherming (AVG) roept de vraag op welke gegevens nu wel en niet onder deze wetgeving vallen. De regels en verplichtingen van de AVG zijn immers van toepassing op alle informatie over "een geïdentificeerde of identificeerbare persoon". Lees hier wat dat precies betekent voor de gegevens die u in huis heeft.

Wat zijn persoonsgegevens onder de AVG?

De AVG geeft (in artikel 4) de volgende definitie van persoonsgegevens:
"Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon."

Dit betekent dat alle informatie die direct te maken heeft met een individu, of die op een individu is terug te voeren, een persoonsgegeven is. Het gaat om gegevens zoals iemands naam, adres, woonplaats, telefoonnummer en geboortedatum. Maar ook bijvoorbeeld klantnummers, salarisstrookjes, foto’s, zakelijke telefoonnummers, vingerafdrukken, dna-materiaal en e-mailadressen zijn persoonsgegevens.

Om te bepalen of iets een persoonsgegeven is, is het belangrijk om niet alleen te kijken naar het gegeven als zodanig. Een persoonsgegeven kan namelijk ook ontstaan door de koppeling tussen verschillende bronnen. Zo is het kenteken van een auto als zodanig niet een persoonsgegeven. Maar als een organisatie toegang heeft tot de database van het RDW dan is het kenteken te koppelen aan een persoon - en is de informatie voor de betreffende organisatie daarmee een persoonsgegeven. Dit geldt ook voor bijvoorbeeld IP-adressen van websites en locatiegegevens van mobiele telefoons. Ook bij het gebruik van big data kan sprake zijn van persoonsgegevens. Door verschillende data te koppelen kan informatie namelijk (direct of indirect) herleidbaar worden tot een individu.

Er zijn dus heel veel soorten persoonsgegevens. Volgens de wet moet het wel om informatie over een natuurlijk persoon gaan. Gegevens over organisaties, zoals rechtspersonen, verenigingen en stichtingen, zijn geen persoonsgegevens. Ook gegevens van overleden mensen vallen buiten de reikwijdte van de AVG.

De AVG regelt wat er allemaal wel en niet mag met de persoonsgegevens van mensen. Daarom is het essentieel om te weten wat een persoonsgegeven precies is.

Wat zijn bijzondere persoonsgegevens?

Bijzondere persoonsgegevens zijn gevoelige gegevens, zoals informatie over iemands godsdienst, gezondheid of strafrechtelijke verleden, die volgens de privacywetgeving extra bescherming verdienen. De AVG verbiedt de verwerking van deze gegevens, met uitzondering van een aantal situaties die de wet omschrijft (in artikel 10).

Het verbod op de verwerking van bijzondere persoonsgegevens staat in artikel 9 van de AVG.
"Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden."

Voor de verwerking van gevoelige gegevens, zoals over iemands ras, godsdienst of gezondheid, gelden in de AVG extra strikte regels.

Daarnaast is op grond van artikel 10 van de AVG de verwerking van strafrechtelijke persoonsgegevens verboden, tenzij dit gebeurt onder toezicht van de overheid.
"Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 6, lid 1, alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid."

Bijzondere persoonsgegevens verwerken

De AVG noemt een aantal uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken. Deze grondslagen staan verder uitgewerkt in artikel 9 van de AVG. Het gaat bijvoorbeeld om verwerkingen die nodig zijn om arbeidsovereenkomsten uit te voeren. Ook voor geloofsorganisaties en vakbonden zijn er vrijstellingen.

Daarnaast is de verwerking van bijzondere persoonsgegevens toegestaan na uitdrukkelijke toestemming van degene om wie het gaat. Deze toestemming moet wel achteraf controleerbaar zijn en de betrokkene kan deze ook weer intrekken. Overigens mag het Burger Service Nummer (BSN) uitsluitend verwerkt worden voor doelen die wettelijk zijn vastgelegd. Dit is het geval bij onder andere de wetten over belastingen en sociale verzekeringen.

Meer weten?

Wilt u weten welke persoonsgegevens uw organisatie precies verwerkt en wat dit betekent voor uw privacybeleid? Neem dan vrijblijvend contact met ons op.