Persoonlijke gegevens versus gevoelige gegevens: wat is het verschil?
Centraal in de AVG (Algemene Verordening Gegevensbescherming) staat het begrip ‘persoonsgegevens’.
Maar wat zijn persoonsgegevens? Worden namen en e-mailadressen aangemerkt als persoonsgegevens? Hoe zit het met foto’s en ID-nummers?
En waar past het gerelateerde begrip ‘gevoelige persoonsgegevens’ in?
Als je niet zeker weet wat het verschil is tussen persoonlijke en gevoelige gegevens, lees dan verder. We leggen alles uit wat je moet weten en geven voorbeelden van persoonlijke en gevoelige persoonsgegevens.
Inhoud
Wat zijn persoonsgegevens?
Wat zijn gevoelige persoonsgegevens?
Voorbeelden van gevoelige persoonlijke gegevens
Toestemming krijgen
Wat zijn persoonsgegevens?
In de meest elementaire termen zijn persoonsgegevens elk stukje informatie dat iemand kan gebruiken om, met enige mate van nauwkeurigheid, een levend persoon te identificeren.
Het e-mailadres johndo@projectx.com wordt bijvoorbeeld beschouwd als persoonlijke gegevens, omdat het aangeeft dat er maar één John Do kan zijn die aan project X werkt.
Evenzo worden je fysieke adres of telefoonnummer als persoonlijke gegevens beschouwd, omdat er contact met je kan worden opgenomen met behulp van die informatie.
Persoonlijke gegevens worden ook geclassificeerd als alles wat uw fysieke aanwezigheid ergens kan bevestigen. Om die reden zijn camerabeelden van bewegingen persoonsgegevens, evenals vingerafdrukken.
Dat klinkt tot nu toe eenvoudig genoeg. Het wordt echter ingewikkeld als je er rekening mee houdt dat elk stuk informatie niet onafhankelijk hoeft te worden genomen.
Organisaties verzamelen en bewaren doorgaans enorme hoeveelheden informatie over elk gegevensobject. De som van die informatie kan als persoonsgegevens worden beschouwd als deze kan worden samengevoegd om een waarschijnlijke betrokkene te identificeren.
Zie het als een enorm spel van Raad Wie?
Onder bepaalde omstandigheden kunnen de volgende zaken als persoonsgegevens worden beschouwd:
voorbeelden van AVG-gevoelige persoonlijke gegevens
Je zou kunnen denken dat iemands naam altijd persoonlijke gegevens zijn, maar zo eenvoudig is het niet:
“Op zich is de naam John Do niet altijd een persoonsgegeven, omdat er veel personen zijn met die naam. Wanneer de naam echter wordt gecombineerd met andere informatie (zoals een adres, een werkplek of een telefoonnummer), zal dit meestal voldoende zijn om één persoon duidelijk te identificeren.”
Namen zijn niet noodzakelijkerwijs vereist zijn om iemand te identificeren:
“Simpelweg omdat je de naam van een persoon niet kent, wil nog niet zeggen dat je [ze] niet kunt identificeren. Velen van ons kennen niet de namen van al onze buren, maar we kunnen ze toch identificeren.”
Wat zijn gevoelige persoonsgegevens?
Gevoelige persoonsgegevens, ook wel bijzondere categoriegegevens genoemd, is een specifieke set van “bijzondere categorieën” die extra beveiligd moeten worden behandeld.
Voorbeelden van gevoelige persoonlijke gegevens
Hier volgen enkele voorbeelden van gevoelige persoonsgegevens:
Ras of etnische afkomst;
politieke opvattingen;
Religieuze of filosofische overtuigingen;
lidmaatschap van een vakbond;
Genetische gegevens;
Gegevens met betrekking tot iemands seksleven of seksuele geaardheid; En
Biometrische gegevens (indien verwerkt om iemand uniek te identificeren).
Gevoelige persoonsgegevens moeten gescheiden van andere persoonsgegevens worden bewaard, bij voorkeur in een afgesloten lade of archiefkast.
Net als bij persoonsgegevens in het algemeen, mogen deze alleen op laptops of draagbare apparaten worden bewaard als het bestand is gecodeerd en/of gepseudonimiseerd.
Toestemming krijgen
Een veel voorkomende misvatting over de AVG is dat alle organisaties toestemming moeten vragen om persoonsgegevens te mogen verwerken.
In feite is toestemming slechts één van de zes wettelijke gronden voor het verwerken van persoonsgegevens. De strikte regels met betrekking tot rechtmatige toestemmingsverzoeken maken het de minst geprefereerde optie.
Er zullen echter momenten zijn waarop toestemming de meest geschikte basis is. Organisaties moeten zich ervan bewust zijn dat ze expliciete toestemming nodig hebben om gevoelige persoonsgegevens te verwerken.
Dit soort nuances komen veel voor in de hele AVG. Elke organisatie die niet de tijd heeft genomen om haar nalevingsvereisten grondig te bestuderen, loopt het risico te struikelen.
Dit kan leiden tot blijvende schade, zoals handhaving, boetes, slechte pers en verlies van klanten.
Hoewel de AVG al bijna een half decennium van kracht is, worstelen veel organisaties nog steeds met het begrijpen van de nalevingsvereisten.
Het is geen verrassing. De verordening is een complex onderwerp en het is moeilijk om mensen te vinden met de nodige expertise om de talloze processen, beleidslijnen en technologieën aan te pakken die voor succes op het gebied van naleving zullen zorgen.
Iedereen die over deze vaardigheden beschikt, zal veel gevraagd zijn en in staat zijn om hoge salarissen af te dwingen, maar met de crisis van de kosten van levensonderhoud die organisaties in alle sectoren treft, is het vaak niet mogelijk om gespecialiseerd personeel in te schakelen.
De beste manier om deze uitdaging aan te gaan, is door bij te scholen. U krijgt expertise op het gebied van gegevensbescherming, terwijl je waardevolle nieuwe vaardigheden opdoet die je interesses een boost kunnen geven.