Met de komst van de Algemene Verordening Gegevensbescherming is het wettelijke regime voor organisaties die persoonsgegevens verwerken strenger geworden. Een organisatie die persoonsgegevens verwerkt, valt onder de nieuwe AVG. Wat zijn precies persoonsgegevens? Het antwoord lijkt simpel, maar is het niet.
De definitie voor persoonsgegevens in de AVG luidt (artikel 4 lid 1 AVG):
alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Gezien de bovenstaande definitie wordt een persoonsgegeven erg ruim uitgelegd. Naast de bekende gegevens als naam, adres, geboortedatum, kunnen bijv. ook een IP-adres, examencijfer en e-mailadres onder de definitie vallen. Verder vallen de vingerafdruk en het hartfilmpje in principe ook onder de term “persoonsgegevens”.
Kan je iemand identificeren aan de hand van een specifiek gegeven, dan wordt het geschaard onder persoonsgegevens. Dat je niet zelf iemand kan identificeren aan de hand van een gegeven, maar iemand anders wel, maakt dat dat gegeven ook een persoonsgegeven is. Denk bijvoorbeeld aan het kenteken van een auto. Een doorsnee burger kan iemand niet identificeren op basis van een kenteken. Aan de hand van een kenteken kan de RDW wel iemand identificeren. Dat maakt een kenteken dus ook een persoonsgegeven. Hetzelfde geldt voor studentnummer, lidmaatschapsnummer van de sportvereniging of het klantnummer bij een verzekeringsmaatschappij.
Anonimiseren en overleden mensen
Indien persoonsgegevens worden geanonimiseerd zijn de gegevens niet meer te herleiden tot natuurlijke personen. Dit in tegenstelling tot pseudonimiseren waarbij via een zogenaamd “koppelbestand” de identiteit van de natuurlijke persoon nog wel valt te achterhalen.
Er wordt weleens gesproken over “anonieme persoonsgegevens” in de zin van de AVG. Dit klopt niet. Persoonsgegevens zijn gegevens die tot natuurlijke personen zijn te herleiden; per definitie dus niet anoniem. Wanneer persoonsgegevens zijn geanonimiseerd, is de AVG daarop niet langer van toepassing. Hetzelfde geldt voor gegevens over dode mensen. Deze worden niet beschermt door de AVG.
Pseudonimiseren van persoonsgegevens
In sommige gevallen zijn gegevens via een sleutel(bestand) nog te herleiden tot de natuurlijke personen achter de gegevens. De database met bijv. naam en adres is dan ontkoppeld van de andere persoonsgegevens. Via de zogenaamde “sleutel” is dan nog wel te achterhalen welke persoonsgegevens bij welke persoon horen. In dat geval spreken we van pseudonimisering. Pseudonimiseren is een manier om de risico’s voor de betrokkenen te beperken. Het is echter niet zo dat pseudonimiseren van persoonsgegevens alle overige beveiligingsmaatregelen overbodig maakt.
De definitie van pseudonimiseren in de AVG (artikel 4 lid 5 AVG):
het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.
Bijzondere persoonsgegevens
De Europese wetgever heeft in de AVG een aantal bijzondere categorieën persoonsgegevens omschreven. Bijzondere persoonsgegevens zijn o.a.:
ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Deze bijzondere persoonsgegevens mogen in principe niet worden verwerkt. De AVG geeft wel een aantal uitzonderingen op deze regel:
a. de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in Unierecht of lidstatelijk recht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven;
b. de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt;
c. de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven;
d. de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt;
e. de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;
f. de verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid;
g. de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene;
h. de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker;
i. de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim;
j. de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89 lid 1 AVG, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.
Houd er echter rekening mee dat de genoemde voorbeelden van bijzondere persoonsgegevens breed worden geïnterpreteerd door de Autoriteit Persoonsgegevens. Zo worden foto’s, beeldopnamen en nationaliteit gezien als “rasgegevens”.
Nieuw in de opsomming van bijzondere persoonsgegevens zijn genetische gegevens en biometrische gegevens. Onder die laatste categorie, de biometrische gegevens, vallen de vingerafdruk en irisscan.