Persoonsgegevens vormen de kern van de AVG (Algemene Verordening Gegevensbescherming). Het doel van de verordening: is vastleggen wat organisaties moeten beschermen.
Het probleem is dat de AVG geen expliciete lijst biedt van wat wel of geen persoonlijke gegevens zijn. Het is aan organisaties om de definitie van de AVG correct te interpreteren:
‘Persoonsgegevens’ betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (‘betrokkene’)
Met andere woorden, persoonlijke gegevens zijn alle gegevens die informatie bevatten die duidelijk over een bepaald persoon gaan.
De AVG verduidelijkt verder dat informatie als persoonlijke gegevens wordt beschouwd wanneer een individu kan worden geïdentificeerd, direct of indirect, “door verwijzing naar een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of naar een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon”.
In bepaalde omstandigheden kunnen iemands IP-adres, haarkleur, baan of politieke opvattingen als persoonlijke gegevens worden beschouwd.
Het is de moeite waard om de kwalificatie ‘in bepaalde omstandigheden’ te benadrukken, omdat de vraag of informatie als persoonlijke gegevens wordt beschouwd vaak afhangt van de context waarin deze wordt verzameld.
We verzamelen doorgaans veel verschillende soorten informatie over mensen, en zelfs als één stukje data iemand niet individualiseert, kan het relevant worden naast andere informatie.
Een gegevensbeheerder die informatie opvraagt over mensen die producten downloaden van zijn website, kan hen bijvoorbeeld vragen hun beroep op te geven. Dit valt niet onder de reikwijdte van persoonlijke gegevens van de AVG, omdat functietitels doorgaans niet uniek zijn voor één persoon.
Op dezelfde manier zou een organisatie kunnen vragen voor welk bedrijf ze werken, wat wederom niet kan worden gebruikt om iemand te identificeren, tenzij deze de enige werknemer is.
In veel gevallen kunnen deze stukjes informatie echter samen worden gebruikt om het aantal natuurlijke, levende personen zodanig te beperken dat je redelijkerwijs iemands identiteit kunt vaststellen.
Met andere woorden: als u verwijst naar iemand met een specifieke functietitel bij een specifieke organisatie, is er mogelijk maar één persoon die aan die beschrijving voldoet.
Je zou kunnen denken dat iemands naam een duidelijk voorbeeld van persoonlijke gegevens is; dit definieert jou letterlijk als jij.
Veel namen zijn niet uniek. Op die manier kun je veel individuen uitsluiten, maar je kunt geen specifieke persoon aanwijzen.
Alleen wanneer u een naam combineert met andere informatie – zoals een adres, een telefoonnummer of een werkplek – wordt een gewone naam een persoonsgegevens.
Zoals we hebben uitgelegd, kan het lastig zijn om te zeggen of bepaalde informatie voldoet aan de AVG-definitie van persoonlijke gegevens.
Wat kunnen persoonlijke gegevens zijn, op zichzelf of in combinatie met aanvullende informatie?
Biografische informatie of huidige woonsituatie, inclusief namen, adressen, geboortedata en -plaatsen, nationale identificatienummers, telefoonnummers en e-mailadressen.
Uiterlijk, uiterlijk en gedrag, waaronder oogkleur, schoenmaat, karaktereigenschappen en winkelgedrag.
Werkplekgegevens en informatie over opleiding, inclusief salaris of andere verdiensten, belastinggegevens en studentnummers.
Privé- en subjectieve gegevens, waaronder religie, politieke opvattingen en geolocatiegegevens.
Gezondheid, ziekte en genetica, inclusief medische geschiedenis, genetische gegevens en informatie over ziekteverlof.
Als u niet zeker weet of de informatie die u opslaat persoonlijke gegevens zijn, wees dan voorzichtig.
Zorg ervoor dat u voldoet aan de beginselen voor gegevensbescherming. Verwerk alleen gegevens die nodig zijn voor een bepaald doel. Houd het up-to-date, en alleen zolang het aan dat doel voldoet.
Houd het ook veilig. ‘Integriteit en vertrouwelijkheid’ is een expliciet principe onder de AVG. Maar ongeacht of de informatie als ‘persoonlijke gegevens’ wordt beschouwd, wil je niet dat deze in verkeerde handen komt.