Persoonsgegevens

Elke discussie over privacy en persoonsgegevensverwerkingen begint met de vraag: “Zijn dit eigenlijk wel een persoonsgegevens?” In artikel 4 geeft de AVG een uitgebreide definitie:

„persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Een persoonsgegeven zijn dus alle gegevens die in verband gebracht kunnen worden met een natuurlijk persoon. Het kan dus gaan over, de naam van een persoon, een foto, een telefoonnummer (ook een zakelijk nummer), een personeelsnummer, een bankrekeningnummer, een kenteken, een audio of video opname, en soms zelfs postcodes en huisnummers (zie WBP). Het gaat overigens wel steeds over een levende natuurlijke persoon. Bedrijven, verenigingen of gegevens betrekking hebbende op overledenen vallen niet onder deze wetgevingen.

Let ook op combinaties van gegevens

Ook is context of samenhang van gegevens belangrijk. Denk hierbij aan situaties waarbij anonieme gegevens worden gekoppeld (in context met elkaar worden gebracht) waardoor het resultaat wel een persoonsgegeven oplevert. Binnen een big data omgeving gaan we, voor statistische doeleinden binnen een postcode gebied opzoek naar iedereen binnen een bepaalde leeftijdscategorie met een brommer. We koppelen dus postcode (1234AA), leeftijd (18) en brommerbezit (ja/nee) aan elkaar. Geen van deze gegevens is los van elkaar direct een persoonsgegeven. Immers met alleen een postcode wordt het moeilijk één specifiek persoon aan te wijzen. Maar de combinatie kan dat wel zijn, als in een postcode gebied maar één 18-jarige ingeschreven staat die al dan niet in bezit is van een brommer. Deze 18 jarige is daarmee direct identificeerbaar geworden. De combinatie van gegevens (de context) geeft hier dus een persoonsgegeven.

Naast deze context geeft de toelichting van de AVG ook nog aan dat om te bepalen of een natuurlijk persoon identificeerbaar is er rekening moet worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij gebruikt kunnen worden om de persoon direct of indirect te identificeren [Overweging 16 AVG]. Als voorbeeld moet ik zelf altijd denken aan de casus van Thelma Arnold. Een 62-jarige weduwe uit Amerika werd door de New York Times (in dit geval met haar toestemming) geïdentificeerd op basis van eigenschappen van de zoekstrings. Hier was alleen een code voldoende om met basismiddelen mevrouw Arnold te identificeren.

We moeten dus letten op meer dan alleen de voor de hand liggende persoonsgegevens. Het is van belang dat er voor elk informatiesysteem wordt bepaalt welke gegevens, die mogelijk zelfstandig of in combinatie met andere, gebruikt kunnen worden om een persoon te identificeren. Hiervoor zijn verschillende technieken in omloop (zoals de gegevensbeschermingseffectbeoordeling, in slecht Nederlands ook wel de PIA genoemd), maar daar ga ik in een volgend blog dieper op in.

Persoonsgegevens die sowieso niet mogen worden verwerkt

Naast de “standaard” persoonsgegevens kennen zowel de WBP(artikelen) als de AVG (artikel 9 en 10) ook nog bijzondere persoonsgegevens. Deze mogen (uiteraard uitzonderingen die zijn opgenomen in de WBP in artikelen 17 t/m 24 daargelaten) nooit worden verwerkt. Bijzondere gegevens zijn alle gegevens waaruit Ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid (artikel 9 lid 1 van de AVG). En Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten. (artikel 10 AVG). In de WBP staat ook nog het burgerservicenummer (BSN) als een bijzonder persoonsgegeven genoemd omdat het een uniek en tot de persoon herleidbaar nummer is. In de komende Uitvoeringswet Algemene verordening gegevensbescherming zal het BSN weer worden opgenomen. (artikel 35).

Geef een reactie

Sluit Menu