Frequently asked questions

In artikel 4 geeft de AVG een uitgebreide definitie:

„persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Een persoonsgegeven is dus elk gegeven dat in verband gebracht kunnen worden met een natuurlijk persoon. Het kan dus gaan over, de naam van een persoon, een foto, een telefoonnummer (ook een zakelijk nummer), een personeelsnummer, een bankrekeningnummer, een kenteken, een audio- of video- opname, en soms zelfs postcodes en huisnummers (zie WBP). Het gaat overigens wel steeds over een levende natuurlijke persoon. Bedrijven, verenigingen of gegevens betrekking hebbende op overledenen vallen niet onder deze wetgevingen.

Let ook op combinaties van gegevens

Ook is context of samenhang van gegevens belangrijk. Denk hierbij aan situaties waarbij anonieme gegevens worden gekoppeld (in context met elkaar worden gebracht) waardoor het resultaat wel een persoonsgegeven oplevert. Binnen een bigdata-omgeving gaan we, voor statistische doeleinden binnen een postcodegebied op zoek naar iedereen binnen een bepaalde leeftijdscategorie met een brommer. We koppelen dus postcode (1234AA), leeftijd (18) en brommerbezit (ja/nee) aan elkaar. Geen van deze gegevens is los van elkaar direct een persoonsgegeven. Immers met alleen een postcode wordt het moeilijk één specifiek persoon aan te wijzen. Maar de combinatie kan dat wel zijn, als in een postcode gebied maar één 18-jarige ingeschreven staat die al dan niet in bezit is van een brommer. Deze 18 jarige is daarmee direct identificeerbaar geworden. De combinatie van gegevens (de context) geeft hier dus een persoonsgegeven.

Naast deze context geeft de toelichting van de AVG ook nog aan dat om te bepalen of een natuurlijk persoon identificeerbaar is, er rekening moet worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij gebruikt kunnen worden om de persoon direct of indirect te identificeren [Overweging 16 AVG].

Lorem ipsum dolor sit amet, adhuc labores honestatis pro ne. Pri tantas epicuri inciderint te, nibh efficiendi disputationi ex pri. At facer theophrastus eum, has nulla bonorum vituperata at. Eos utroque consequuntur an, case solum his ei.

De volgende persoonsgegevens zijn bijzondere persoonsgegevens:

  • Persoonsgegevens waaruit ras of etnische afkomst blijkt;
  • Persoonsgegevens waaruit politieke opvattingen blijken;
  • Persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
  • Persoonsgegevens waaruit het lidmaatschap van een vakvereniging blijkt;
  • Gegevens over gezondheid;
  • Gegevens met betrekking tot iemands seksueel gedrag of seksuele ge-aardheid;
  • Genetische gegevens;
  • Biometrische gegevens met het oog op de unieke identificatie van een persoon.

Genetische persoonsgegevens

Genetische persoonsgegevens geven unieke informatie over iemands fysiologie of gezondheid en/of over de gezondheid van familieleden. Dat maakt de informatie zo gevoelig.

In de praktijk gaat het hierbij vooral om informatie over erfelijkheid en genetische kenmerken die het resultaat zijn van een biologisch monster. Bijvoorbeeld informatie uit analyse van het DNA.

Biometrische persoonsgegevens

Biometrische persoonsgegevens geven unieke informatie over iemands fysieke, fysiologische of gedragsgerelateerde kenmerken. Dat maakt ze zo gevoelig.

In de praktijk gaat het hierbij vooral om biometrische persoonsgegevens die het resultaat zijn van een specifieke technische verwerking waardoor de gegevens tot een individu herleidbaar zijn. Zoals bij vingerafdrukgegevens.

Speciale regels voor strafrechtelijke persoonsgegevens

Let op: anders dan onder de WBP, zijn strafrechtelijke persoonsgegevens geen bijzondere persoonsgegevens. Voor strafrechtelijke persoonsgegevens gelden onder de AVG specifieke eisen.

Lorem ipsum dolor sit amet, adhuc labores honestatis pro ne. Pri tantas epicuri inciderint te, nibh efficiendi disputationi ex pri. At facer theophrastus eum, has nulla bonorum vituperata at. Eos utroque consequuntur an, case solum his ei.

Lorem ipsum dolor sit amet, adhuc labores honestatis pro ne. Pri tantas epicuri inciderint te, nibh efficiendi disputationi ex pri. At facer theophrastus eum, has nulla bonorum vituperata at. Eos utroque consequuntur an, case solum his ei.

Als een betrokkene vraagt om een overzicht van zijn persoonsgegevens (of afschrift van een medisch dossier) en je stuurt dit met de post toe, dan mag je de portokosten niet in rekening brengen bij de betrokkene (artikel 12, lid 5 AVG).

Daar zijn wel grenzen aan verbonden:

  • het kosteloos verstrekken geldt voor de eerste keer. Als een betrokkene regelmatig een inzageverzoek doet, mag je hier een redelijke vergoeding voor vragen. Neem deze vergoeding wel op in je privacyverklaring onder het kopje ‘uw rechten’;
  • als een verzoek ongegrond of buitensporig is, mag je het verzoek weigeren (artikel 15, lid 3 sub b) of een redelijke vergoeding vragen (artikel 15, lid 3 sub a).

Wat is een redelijke vergoeding?

Een redelijke vergoeding is bijvoorbeeld de kosten van een Cd-rom, de portokosten (bij dikke pakketten), of een vergoeding per gekopieerde pagina.

Je mag persoonsgegevens in de cloud verwerken. Je hebt ook geen toestemming nodig van betrokkenen om hun gegevens in de cloud te plaatsen. Maar het werken met persoonsgegevens in de cloud brengt wel privacyrisico’s met zich mee. Bijvoorbeeld als het niet of pas te laat wordt opgemerkt dat er gegevens zijn gelekt. Daarom is er een aantal punten waar je op moet letten.

Aandachtspunten werken met persoonsgegevens in de cloud:

  • wees kritisch op welke cloudprovider je kiest;
  • maak je gebruik van een cloudprovider buiten de EU? Dan gelden er speciale regels;
  • maak vooraf afspraken met de cloudprovider om ervoor te zorgen dat je ook toegang houdt tot de gegevens als de provider wordt overgenomen, failliet gaat of als de samenwerking wordt stopgezet;
  • blijf de cloudprovider monitoren wanneer de gegevens eenmaal in de cloud zitten.

 wissel

Onder de Wet bescherming persoonsgegevens was het BSN een bijzonder persoonsgegeven. Onder de AVG is het BSN geen bijzonder persoonsgegeven meer. Desondanks blijft (voor Nederland) het verbod voor verwerking van BSN gelden zoals we dit al jaren kennen. Anders gezegd: je mag het BSN in Nederland alleen gebruiken als ergens in een wet staat dat het mag (artikel 87 AVG). Voor zorgaanbieders is dat bepaald in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.