Wat verstaat de AVG onder persoonsgegevens?
Om te weten of je persoonsgegevens verwerkt, moet je een beeld hebben van wat de AVG onder het begrip ‘persoonsgegeven’ verstaat. In deze blog geef ik een algemeen beeld van wat de AVG onder persoonsgegevens verstaat. Weet je niet zeker of de gegevens persoonsgegevens zijn? Behandel deze gegevens dan als persoonsgegeven. Better safe than sorry.
Hieronder geef ik een aantal voorbeelden van gegevens die wel of geen persoonsgegeven (kunnen) zijn. Ga niet blind op deze lijst af. Het kan zijn dat in jouw geval een gegeven wel (of toch niet) een persoonsgegeven is, door de aanwezigheid (of juist afwezigheid) van andere (persoons)gegevens of omstandigheden.
Het begrip persoonsgegevens in de AVG
In artikel 4 lid 1 van de AVG: staat de definitie van persoonsgegevens:
„persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Dit houdt in dat een gegeven een persoonsgegeven is, indien het gegeven:
- Direct herleidbaar is tot een persoon
- Indirect herleidbaar is tot een persoon
- Mogelijkheid tot herleiding tot een persoon biedt
Voorbeelden van persoonsgegevens:
- Een naam
- Een IP-adres (zowel statische, dynamische als het maskeren van een IP-adres)
- Cookie ID
- Locatiegegevens
- Papieren dossiers
- De naam van een bestuurder van een rechtspersoon
- Een bankrekeningnummer. Ook zonder naam. Het is immers een uniek nummer en daarmee te herleiden tot een persoon.
- Pseudonieme gegevens
- Encryptie
- Hashing
Wat zijn geen persoonsgegevens?
Geen persoonsgegevens zijn onder meer:
- Anonieme gegevens. Voor zover op geen enkele manier meer herleidbaar tot een persoon, geen aanvullende gegevens beschikbaar en onomkeerbaar.
- Objectgegevens
- Overledenen
- Rechtspersonen (tenzij eveneens betrekking op natuurlijke personen)
- Telefoonnummers (rechtspersoon, bestuursorgaan of niet individueel)
En dan zijn er nog bijzondere persoonsgegevens
Naast de ‘gewone’ persoonsgegevens die hierboven genoemd zijn, kent de AVG ook nog bijzondere persoonsgegevens
In artikel 9 lid 1 van de AVG staat wanneer er bijzondere persoonsgegevens worden verwerkt:
Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.
Voor het verwerken van bijzondere persoonsgegevens gelden, naast de basisvoorwaarden, nog extra waarborgen.
Voorbeelden van bijzondere persoonsgegevens:
- Godsdienst
- Ras
- Politieke gezindheid
- Gezondheid
- Lidmaatschap van een vakvereniging
- Genetische gegevens
- Persoonsgegevens over onrechtmatig of hinderlijk gedrag
- Strafrechtelijke persoonsgegevens
Advies over persoonsgegevens
De privacy van de betrokkenen is steeds van groot belang. Als je zelf denkt dat je mogelijk inbreuk maakt op de privacy van iemand, handel daar dan ook naar. Je kunt tenslotte beter een boete van de Autoriteit Persoonsgegevens voorkomen, dan deze boete moeten betalen.
Bij twijfel of een gegeven een persoonsgegeven is, kun je hierover geen navraag doen bij de Autoriteit Persoonsgegevens. Je zult advies moeten inwinnen en zelf een beslissing moeten nemen. Het risico van deze beslissing blijft bij jou liggen.