Persoonsgegevens
Wat zijn persoonsgegevens?
De letterlijke definitie uit de AVG luidt als volgt:
‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene“); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.’
(Ter vergelijk de definitie van de huidige Wbp: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.)
Twee belangrijke begrippen in de definitie zijn ‘alle informatie’ en ‘identificeerbaar’. Hieronder volgt een korte toelichting van deze begrippen.
Alle informatie
Het gaat dus om alle informatie die op welke manier dan ook iets zegt over een bepaald persoon. De vorm maakt niet uit. Het kunnen digitale gegevens zijn of gegevens op papier, maar het kan ook om (röntgen)foto’s of videobeelden gaan, en zelfs weefselmateriaal waaruit DNA-gegevens kunnen worden afgeleid valt hieronder. Het gaat hierbij dus niet alleen om de bekende naw-gegevens, geboortedatum etc., maar ook de volgende informatie kan hieronder vallen:
• E-mailadres, telefoonnummer, titulatuur, zakelijk adres
• Werkgever, functie, personeelsnummer, leidinggevende
• Loopbaan, opleiding, competenties
• Medische gegevens
• Klachten, antwoorden, meningen, publicaties
• Inhoud van e-mails, surfgedrag
• Overtredingen, veroordelingen
• Wachtwoorden en loginnamen
• Identificatienummers
• IP-adressen, tracking cookies etc.
Identificeerbaar
Het gaat erom dat op basis van de gegevens één specifiek persoon kan worden geïdentificeerd. Alleen een voor- en achternaam is doorgaans niet voldoende. Bijvoorbeeld de naam Jan Janssen alleen kan niet herleid worden naar een specifiek persoon. Ook Jan Janssen met de toevoeging woonplaats Amsterdam zal nog niet voldoende zijn. De toevoeging van de geboortedatum zal al snel leiden tot de identificatie van een specifiek persoon. Heeft iemand een minder veel voorkomende naam dan kan bijvoorbeeld de toevoeging van een woonplaats wel leiden tot identificatie.
Kortom, er is al heel snel sprake van persoonsgegevens. Zodra er door de combinatie van gegevens de mogelijkheid bestaat dat iemand op basis van deze gegevens een ander persoon kan identificeren, is er dus sprake van persoonsgegevens. Zelfs in geval van versleuteling van persoonsgegevens (pseudonimiseren) kan sprake zijn van identificatie. Bijvoorbeeld met behulp van degene die de code van de versleuteling kent. Zodra er sprake is van een redelijke verwachting dat zoiets zou kunnen gebeuren, is er al sprake van identificeerbaarheid.
Bijzondere persoonsgegevens
De AVG maakt ook nog onderscheid tussen ‘gewone’ en ‘bijzondere’ persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens die als extra privacygevoelig worden beschouwd, en daardoor ook onder een strenger regime vallen dan gewone persoonsgegevens.
Onder bijzondere gegevens vallen gegevens waaruit het volgende blijkt:
• religieuze of levensovertuiging
• ras of etnische afkomst
• politieke opvattingen
• gezondheid
• genetische gegevens
• biometrische gegevens met het oog op de unieke identificatie van een persoon
• gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid
• het lidmaatschap van een vakbond
Let op: een combinatie van gegevens kan ook verwijzen naar bijzondere persoonsgegevens. Zo kan de combinatie van nationaliteit met naam en geboorteplaats bijvoorbeeld een aanwijzing van etniciteit zijn.
Verwerking bijzondere persoonsgegevens verboden
Het uitgangspunt is dat het verboden is om bijzondere persoonsgegevens te verwerken. Er is een wettelijke uitzondering nodig om deze gegevens toch te mogen verwerken. Een voorbeeld van een wettelijke uitzondering is wanneer iemand uitdrukkelijke toestemming heeft gegeven voor het verwerken van zijn persoonsgegevens. Maar ook voor organisaties als kerken, vakbonden en politieke partijen geldt de wettelijke uitzondering. Zij mogen de gegevens echter alleen voor hun eigen administratie gebruiken, en alleen aan derden verstrekken met toestemming van de betrokkene. (Klik op de link ‘wettelijke uitzondering’ voor en totaaloverzicht van de uitzonderingen.)
Strafrechtelijke persoonsgegevens
Verwerking van strafrechtelijke persoonsgegevens is alleen toegestaan onder toezicht van de overheid op grond van wettelijke voorschriften. Denk hierbij aan het verplicht opvragen van een verklaring omtrent gedrag door kinderdagverblijven.