Frequently Asked Questions

In artikel 4 geeft de AVG een uitgebreide definitie:

„persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Een persoonsgegeven is dus elk gegeven dat in verband gebracht kunnen worden met een natuurlijk persoon. Het kan dus gaan over, de naam van een persoon, een foto, een telefoonnummer (ook een zakelijk nummer), een personeelsnummer, een bankrekeningnummer, een kenteken, een audio- of video- opname, en soms zelfs postcodes en huisnummers (zie WBP). Het gaat overigens wel steeds over een levende natuurlijke persoon. Bedrijven, verenigingen of gegevens betrekking hebbende op overledenen vallen niet onder deze wetgevingen.

Let ook op combinaties van gegevens

Ook is context of samenhang van gegevens belangrijk. Denk hierbij aan situaties waarbij anonieme gegevens worden gekoppeld (in context met elkaar worden gebracht) waardoor het resultaat wel een persoonsgegeven oplevert. Binnen een bigdata-omgeving gaan we, voor statistische doeleinden binnen een postcodegebied op zoek naar iedereen binnen een bepaalde leeftijdscategorie met een brommer. We koppelen dus postcode (1234AA), leeftijd (18) en brommerbezit (ja/nee) aan elkaar. Geen van deze gegevens is los van elkaar direct een persoonsgegeven. Immers met alleen een postcode wordt het moeilijk één specifiek persoon aan te wijzen. Maar de combinatie kan dat wel zijn, als in een postcode gebied maar één 18-jarige ingeschreven staat die al dan niet in bezit is van een brommer. Deze 18 jarige is daarmee direct identificeerbaar geworden. De combinatie van gegevens (de context) geeft hier dus een persoonsgegeven.

Naast deze context geeft de toelichting van de AVG ook nog aan dat om te bepalen of een natuurlijk persoon identificeerbaar is, er rekening moet worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij gebruikt kunnen worden om de persoon direct of indirect te identificeren [Overweging 16 AVG].

De volgende persoonsgegevens zijn bijzondere persoonsgegevens:

  • Persoonsgegevens waaruit ras of etnische afkomst blijkt;
  • Persoonsgegevens waaruit politieke opvattingen blijken;
  • Persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
  • Persoonsgegevens waaruit het lidmaatschap van een vakvereniging blijkt;
  • Gegevens over gezondheid;
  • Gegevens met betrekking tot iemands seksueel gedrag of seksuele ge-aardheid;
  • Genetische gegevens;
  • Biometrische gegevens met het oog op de unieke identificatie van een persoon.

Genetische persoonsgegevens

Genetische persoonsgegevens geven unieke informatie over iemands fysiologie of gezondheid en/of over de gezondheid van familieleden. Dat maakt de informatie zo gevoelig.

In de praktijk gaat het hierbij vooral om informatie over erfelijkheid en genetische kenmerken die het resultaat zijn van een biologisch monster. Bijvoorbeeld informatie uit analyse van het DNA.

Biometrische persoonsgegevens

Biometrische persoonsgegevens geven unieke informatie over iemands fysieke, fysiologische of gedragsgerelateerde kenmerken. Dat maakt ze zo gevoelig.

In de praktijk gaat het hierbij vooral om biometrische persoonsgegevens die het resultaat zijn van een specifieke technische verwerking waardoor de gegevens tot een individu herleidbaar zijn. Zoals bij vingerafdrukgegevens.

Speciale regels voor strafrechtelijke persoonsgegevens

Let op: anders dan onder de WBP, zijn strafrechtelijke persoonsgegevens geen bijzondere persoonsgegevens. Voor strafrechtelijke persoonsgegevens gelden onder de AVG specifieke eisen.

Als een betrokkene vraagt om een overzicht van zijn persoonsgegevens (of afschrift van een medisch dossier) en je stuurt dit met de post toe, dan mag je de portokosten niet in rekening brengen bij de betrokkene (artikel 12, lid 5 AVG).

Daar zijn wel grenzen aan verbonden:

  • het kosteloos verstrekken geldt voor de eerste keer. Als een betrokkene regelmatig een inzageverzoek doet, mag je hier een redelijke vergoeding voor vragen. Neem deze vergoeding wel op in je privacyverklaring onder het kopje ‘uw rechten’;
  • als een verzoek ongegrond of buitensporig is, mag je het verzoek weigeren (artikel 15, lid 3 sub b) of een redelijke vergoeding vragen (artikel 15, lid 3 sub a).

Wat is een redelijke vergoeding?

Een redelijke vergoeding is bijvoorbeeld de kosten van een Cd-rom, de portokosten (bij dikke pakketten), of een vergoeding per gekopieerde pagina.

Onder de Wet bescherming persoonsgegevens was het BSN een bijzonder persoonsgegeven. Onder de AVG is het BSN geen bijzonder persoonsgegeven meer. Desondanks blijft (voor Nederland) het verbod voor verwerking van BSN gelden zoals we dit al jaren kennen. Anders gezegd: je mag het BSN in Nederland alleen gebruiken als ergens in een wet staat dat het mag (artikel 87 AVG). Voor zorgaanbieders is dat bepaald in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.