Wat is een Persoonsgegeven?

De AVG / GDPR draait eigenlijk maar om een ding: het beschermen van persoonsgegevens. En daarmee het beschermen van de privacy. Maar wat is een persoonsgegeven precies?

Lees meer

Een persoonsgegeven is een stukje data dat nadere informatie geeft over een specifieke persoon. Op bovendien een dusdanige manier dat degene die de persoonsgegeven onder ogen krijgt, weet wie daarmee bedoeld wordt. Zo zijn zaken als naam- en adresgegevens, e-mailadressen en BSN-nummers zijn overduidelijk persoonsgegevens.

Persoonsgegeven

Soms is een persoonsgegeven op zichzelf niet direct herleidbaar naar een persoon. Bijvoorbeeld iemands geboortedatum leidt niet direct naar deze persoon. Er zijn immers enorme hoeveelheid mensen op dezelfde dag geboren. Maar wanneer we de geboortedatum kunnen koppelen aan een woonadres, dan is deze combinatie wel degelijk te herleiden naar een specifiek persoon. De kans is immers klein dat twee mensen op hetzelfde adres staan ingeschreven die exact op dezelfde dag jarig zijn.

Ook beschrijvende elementen van personen zijn persoonsgegevens. Denk aan iemands lievelingseten, iemands recente aankoop op een webshop, of iemands IQ. Ook hierbij geldt: op zichzelf zijn dit geen persoonsgegevens. Je kunt aan een IQ-getal niet zien bij wie deze hoort. Maar wanneer het getal is gekoppeld aan andere persoonsgegevens, zoals een naam en toenaam, is dit natuurlijk wel degelijk herleidbaar en geeft dit wel degelijk specifieke informatie over die persoon. In dit geval namelijk hoe intelligent iemand is.

Wat is de officiële definitie van een persoonsgegevens in de AVG / GDPR?

De officiële definitie volgens de AVG / GDPR luidt als volgt:

“persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Wat zijn bijzondere persoonsgegevens?

Onder bijzondere persoonsgegevens verstaan we persoonsgegevens die bij een datalek tot mogelijk een zeer grote schending van de privacy zouden leiden. Hieronder valt bijvoorbeeld herleidbare informatie over iemands seksuele geaardheid, politieke voorkeur, in het verleden strafbare feiten, ras of godsdienst. Komen dergelijke gegevens in handen van derden, dan kunnen de gevolgen voor de betrokkene groot zijn.

Bijzondere persoonsgegevens hebben een aparte status. Dat hadden ze al onder de Wbp, en dat hebben ze onder de AVG / GDPR zeker ook. In principe is de verwerking van bijzondere persoonsgegevens niet toegestaan, tenzij er zeer zwaarwegende (maatschappelijke) belangen op het spel staan. Worden deze gegevens toch verwerkt, dan moet die verwerking aan strikte eisen voldoen. Ook moeten projecten met enig risico voor bijzondere persoonsgegevens vooraf aan een Privacy Impact Assessment worden onderworpen.

Hoe zit het data die leiden naar eigendommen, zoals smartphones?

Persoonsgegevens moesten voorheen strikt herleidbaar zijn naar een aanwijsbaar, identificeerbaar persoon (die je bij wijze van spreken met naam en toenaam zou kunnen noemen). Onder druk van de toenemende digitalisering is dit echter aan het verruimen van ‘identificeerbaarheid’ naar ‘individualiseerbaarheid’. Met andere woorden: data die niet direct leiden naar een identificeerbaar individu, maar wel naar een individu in de striktere zin van het woord, kunnen ook als persoonsgegevens worden gekenmerkt.

Een goed voorbeeld zijn hiervan apparaatcodes die via wifi of bluetooth worden verstuurd. Deze codes leiden niet specifiek naar een identificeerbaar persoon, maar wel naar bijvoorbeeld een specifieke smartphone of laptop. En zo’n apparaat valt uiteindelijk weer te herleiden naar personen, maar dat is niet eens per se relevant. Daarom zijn zaken als wifi-tracking ook aan steeds meer restricties gebonden.

Wanneer is er sprake van verwerking van persoonsgegevens?

De AVG / GDPR spreekt regelmatig van een ‘verwerking’ van persoonsgegevens. Dit is een wat abstracte woordkeuze. Echter met een goede reden, want onder het verwerken van persoonsgegevens staan we enorm veel verschillende dingen. De onderstaande acties mag je tot een verwerking rekenen:

  • het bewaren van persoonsgegevens
  • het opslaan van persoonsgegevens
  • het inzien van persoonsgegevens
  • het vernietigen van persoonsgegevens
  • het ordenen van persoonsgegevens
  • het raadplegen van persoonsgegevens
  • het wijzigen van persoonsgegevens
  • het doorgeven van persoonsgegevens
  • het afschermen van persoonsgegevens
  • het samenbrengen van persoonsgegevens
  • het gebruiken van persoonsgegevens voor data-analyse
  • het gebruiken van persoonsgegevens voor profiling

Bij een verwerking van persoonsgegeven hoeft niet per se sprake te zijn van menselijke tussenkomst of inmenging. Het verwerken kan dus geheel automatisch gebeuren door bijvoorbeeld een IT-systeem. Het gaat erom of de verwerking enige invloed zou kunnen hebben op de persoonsgegeven.

Wat is dataminimalisatie?

De AVG / GDPR kent een regelmatig terugkerend begrip: dataminimalisatie. Dit houdt in dat je als organisatie niet meer gegevens mag verzamelen dat strikt noodzakelijk voor het beoogde doel. Of zoals in de wettekst officieel gesproken wordt: Dataminimalisatie houdt in dat bij het verzamelen en verwerken van persoonsgegevens niet meer gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.

Lees meer
Wat is recht op vergetelheid?

Wat is recht op vergetelheid?

In de AVG / GDPR is in Artikel 17 een belangrijk nieuw recht voor betrokkenen opgenomen: het recht op vergetelheid. Dit geeft betrokkenen het recht op verwijdering van al zijn of haar persoonsgegevens. Dit is een van de manieren waarop de EU haar burgers meer controle en zeggenschap wil geven over hun privacygevoelige data.

Wat is privacy by design?

Wat is privacy by design?

Privacy by design wil zeggen dat je tijdens de ontwikkeling van een product of dienst zo goed mogelijk rekening houdt met de privacy van de gebruiker. In het Nederlands wordt dit principe ook wel aangeduid met ‘Gegevensbescherming door ontwerp en door standaardinstellingen’.

YourSafetynet Q&A (YourSafetynet geeft antwoord)

De ontwikkelingen rondom dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen gaan razendsnel en er worden veel nieuwe termen geïntroduceerd. Onze Q&A geeft inzicht in deze nieuwe terminologieën.

Op Weg Naar De GDPR - Whitepaper YourSafetynet

Whitepaper:
Op weg naar de GDPR

Inmiddels is de nieuwe privacywetgeving AVG een feit. Wat moet je weten? Wat moet je regelen? Onze uitgebreide whitepaper vertelt je alles.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

YourSafetynet Folder

De 4 pijlers van YourSafetynet

Voldoen aan de AVG duur, tijdrovend en ingewikkeld? Niet met YourSafetynet. Onze totaaloplossing maakt jouw organisatie 100% AVG-proof. Zonder ingewikkeld gedoe. Download de 4 pijlers van YourSafeynet.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

YourSafteynet eBook

Jouw website 100% AVG-proof

De nieuwe Europese privacywetgeving heeft grote gevolgen voor je website. In dit eBook laten we zien hoe je privacy-issues voorkomt en jouw site 100% in lijn brengt met de AVG/GDPR. Eenvoudig en stap-voor-stap.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.