In deze blogreeks over privacy en privacymanagement ga ik in op de verschillende onderdelen van een goed privacy management framework. Uitgebreide juridische verhandelingen laat ik zoveel mogelijk achterwege. Graag geef ik je een aantal praktische handvaten om te komen tot een verantwoorde omgang met persoonsgegevens.
De blogs zijn geen uitgebreide verhandelingen. Op sommige plaatsen zal ik kort door de bocht gaan, en het is ook zeker geen uitgebreid advies.
Goed privacymanagement betekent meer dan een technische, meer dan een juridische en ook meer dan een bedrijfsmatige kijk op verwerkingen van persoonsgegevens. De blogs geven je aanknopingspunten om die drie “views” bij elkaar te brengen.
“Is dit eigenlijk wel een persoonsgegeven?”
In dit eerste blog ga ik in op de basis. Wat is nu eigenlijk een persoonsgegeven, en waarom zijn er specifieke regels bedacht voor die gegevens?
Bij elke discussie over privacy en persoonsgegevensverwerkingen duikt altijd wel ergens de discussie op: “Is dit eigenlijk wel een persoonsgegeven?” (In diezelfde discussies merk ik dat er vaak erg makkelijk over het belang van goede bescherming heen gestapt wordt, maar dat is onderwerp van een volgend hoofdstuk.).
Als eerste onderdeel van de blogreeks wil ik een misverstand uit de wereld helpen. Ik hoorde laatst iemand zeggen: “Ja, naast die AVG moeten we ook nog voldoen aan de GDPR”. Dat is natuurlijk volgslagen onzin.
De AVG in de Nederlandse (Vlaamse) vertaling van de GDPR en voor in ons taalgebied de van toepassing zijnde wetgeving. Wat voor de Nederlandse situatie nog wel van belang is, is de Uitvoeringswet AVG (UAVG [1]). Hierin worden een aantal invullingen gegeven van de AVG naar de specifieke Nederlandse situatie.
Hiernaast is van belang om te weten dat de AVG ook invullingen kent in andere wetgevingen. Vanuit de andere wetgeving worden specifieke omstandigheden gecreëerd waarmee specifieke invulling wordt gegeven aan bepalingen uit de AVG. De AVG geeft niet op elke vraag antwoord. Meestal moet er ook nog gekeken worden naar andere wetgevingen. De AVG moet niet “in splended isolation” worden gelezen [2].
Wettelijke definities persoonsgegeven
Ik weet het, ik had beloofd geen juridische verhalen af te steken, maar ik zal af en toe toch even grijpen naar de Algemene Verordening Gegevensbescherming (AVG). Dit omdat alle verwerkingen van persoonsgegevens per 25 mei 2018 aan de Europese verordening moeten voldoen.
De AVG geeft een uitgebreidere definitie in artikel 4 1:
„Persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Een simpele definitie die eigenlijk wel helemaal ontleed moet worden om te kunnen bepalen wat er nu staat.
We beginnen met de eerste twee woorden, alle informatie, het maakt dus niet uit wat voor gegeven het is, het gaat om alles wat als gegeven kan worden beschouwd. Het is ook in enkelvoud. Dit is relevant, het hoeft dus geen grote verzameling te zijn van allerlei gegevens die samen persoonsgegevens zijn. Het kan al vanuit één gegeven komen. Maar het brokje data moet wel betrekking hebben op een natuurlijke persoon.
Dan hebben we nog over, een geïdentificeerde of identificeerbare, het gegeven moet dus kunnen resulteren in het aanwijsbaar (identificeerbaar) zijn of maken van een persoon. Het hoeft hierbij trouwens niet alleen te gaan over gegevens waardoor je 1 persoon kan aanwijzen. Als het gegeven gaat over het identificeren van een kleine groep (singling out) kan het nog steeds een persoonsgegeven zijn.
Samenvattend is dus een persoonsgegeven alles wat in verband kan worden gebracht met een natuurlijk persoon. Het kan dus gaan over de naam van een persoon, een foto, een telefoonnummer (ook een zakelijk nummer), een personeelsnummer, een bankrekeningnummer, een kenteken, een audio- of videoopname, en soms zelfs postcodes en huisnummers. En in sommige gevallen ook zaken als het IP-adres of andere hardware adressen (bluethooth adres e.d.).
Het gaat overigens wel steeds (in het kader van de persoonsgegevens) over een levende natuurlijke persoon. Rechtspersonen, verenigingen of gegevens betrekking hebbende op overleden personen vallen niet onder deze wetgevingen.
Let ook op combinaties van gegevens
In een aantal gevallen is context of samenhang van gegevens ook belangrijk. Denk hierbij aan de volgende situatie waarbij strikt anonieme gegevens worden gekoppeld (in context met elkaar worden gebracht) waardoor het resultaat wel een persoonsgegeven (een gegeven waardoor een persoon geïdentificeerd kan worden) oplevert.
Binnen een big data omgeving gaan we, voor statistische doeleinden binnen een postcodegebied, opzoek naar iedereen binnen een bepaalde leeftijdscategorie met een brommer. We koppelen dus postcode (1234AA), leeftijd (18) en brommerbezit (ja/nee) aan elkaar.
Geen van deze gegevens is los van elkaar direct een persoonsgegeven. Immers met alleen een postcode wordt het moeilijk één specifiek persoon aan te wijzen. Maar de combinatie kan dat wel zijn, als in een postcodegebied maar één 18-jarige ingeschreven staat die al dan niet in bezit is van een brommer. Deze 18 jarige is daarmee direct identificeerbaar geworden. De combinatie van gegevens (de context) geeft hier dus een persoonsgegeven.
Naast deze context geeft de toelichting van de AVG ook nog aan dat om te bepalen of een natuurlijk persoon identificeerbaar is er rekening moet worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij gebruikt kunnen worden om de persoon direct of indirect te identificeren [Overweging 16 AVG].
Als voorbeeld moet ik zelf altijd denken aan de casus van Thelma Arnold. Een 62-jarige weduwe uit Amerika werd door de New York Times [3] (in dit geval met haar toestemming) geïdentificeerd op basis van eigenschappen van de zoekstrings. Hier was alleen een code voldoende om met basismiddelen mevrouw Arnold te identificeren.
Een andere context is het IP-adres. Een IP-adres is voor wie het adres uitgeeft altijd een persoonsgegeven [4]. De Internetprovider kan tenslotte je (dynamisch) IP adres altijd koppelen aan jou.
Voor diensten op het internet is het sinds de Breyer uitspraak [5] van het Europese Hof van Justitie dat een dynamisch IP-adres ook voor andere een persoonsgegeven kan zijn. Als er door een internetdienst een koppeling kan worden gemaakt tussen een identiteit (een login naam bijvoorbeeld) en het IP-adres, is het IP-adres ook een persoonsgegeven. Dus voor een internetwinkel waar ook andere gegevens gekoppeld kunnen worden aan het IP-adres (of zoals in de Breyer zaak de overheid) is het IP-adres altijd een persoonsgeven. Bij een internet informatiesite, die geen login mogelijkheid heeft, niet.
We moeten dus letten op meer dan alleen de voor de hand liggende persoonsgegevens. Het is van belang dat er voor elk informatiesysteem wordt bepaald welke gegevens, die mogelijk zelfstandig of in combinatie met andere, gebruikt kunnen worden om een persoon te identificeren.
Hiervoor zijn verschillende technieken in omloop (zoals de gegevensbeschermingseffectbeoordeling (DPIA), in slecht Nederlands ook wel de PIA genoemd, maar daar ga ik in een volgend hoofdstuk dieper op in.
Persoonsgegevens die sowieso niet mogen worden verwerkt
Naast de “standaard” persoonsgegevens kennen we in de AVG (artikel 9 en 10) ook nog "bijzondere persoonsgegevens". Deze mogen (uiteraard uitzonderingen daargelaten, kom ik later nog op terug) nooit worden verwerkt.
Bijzondere gegevens zijn alle gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid (artikel 9 lid 1 van de AVG). En Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (artikel 10 AVG).
In de AVG zijn uitzonderingen opgenomen in art.9 tweede lid. Ik benoem hier een paar uitzonderingen de lijst is langer, en ik heb een samenvatting gemaakt van de artikelen:
- Er uitdrukkelijk toestemming is gegeven door de betrokken (behalve als die toestemming niet gegeven kan worden door andere wetgeving),
- Als de verwerking moet vanuit specifieke verplichtingen uit het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht,
- De verwerking noodzakelijk is om de vitale belangen van de betrokkene of een ander te beschermen. (Je mag een hartfilmpje maken van iemand als diegene daar zelf geen toestemming voor kan geven omdat hij/zij met een hartstilstand op straat ligt)
- Als het bijzondere gegeven voortkomt uit je bestaansrecht, een kerk mag lidmaatschap van die Kerk verwerken. Let wel, je organisatie moet dan wel een stichting, een vereniging of een andere instantie zonder winstoogmerk zijn die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is.
- Je mag bijzondere gegevens verwerken als de persoon ze zelf openbaar heeft gemaakt. (je moet natuurlijk nog wel een grondslag hebben voor het verwerken)
- Als het verwerken nodig is voor de bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid, maar deze uitzondering is alleen te gebruiken door organisaties die gebonden zijn aan een vorm van beroepsgeheim (medisch e.a.)
- Als het verwerken nodig is vanuit een geneeskundig perspectief (gezondheidszorg etc.)
In de uitvoeringswet AVG (de Nederlandse implementatie van de AVG) zijn de uitzonderingen opgenomen in artikel 22 tot en met 30. Voor informatiebeveiliging is bijvoorbeeld artikel 29 UAVG zeer relevant. Hierin is opgenomen dat het “verbod” op verwerken van biometrische gegevens voor identificatie van een persoon te verwerken niet van toepassing is, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
In de UAVG is ook nog in artikelen 31 t/m 33 opgenomen wat de uitzonderingen zijn voor het verwerken van gegevens van strafrechtelijke aard. Ook is in de AVG in artikel 46 specifiek aandacht voor de verwerking van het BSN. Artikel 87 uit de AVG geeft die mogelijkheid. We mogen in Nederland het BSN alleen verwerken als in een wet of maatregel van bestuur is opgenomen dat het moet.
De volgende keer - over verwerken van persoonsgegevens
Het eerste blog ging over persoonsgegevens: wat is nu eigenlijk een persoonsgegeven en waarom zijn er specifieke regels bedacht voor die gegevens?
In het volgende blog wordt de term ‘verwerken’ uitgediept. Wanneer ben ik nu aan het verwerken en wanneer ook niet. Is er onderscheid te maken in soorten verwerkingen? Ik zal ook ingaan op de verplichting om verwerkingen te registreren en hoe deze registratie kan worden opgezet.
Wil jij meer weten? Bels ons gerust: 030 - 230 89 00.
Kijk ook naar naar onze Security opleidingen.
Jacques Eding
Consultant / Trainer / Coach Privacy / Security CIPP/E | CIPM | CIPT | FIP | CISSP | CSSP | CISA | CISM
[1] https://wetten.overheid.nl/BWB...
[2] Vrij naar Jeroen Terstegge
[3] http://www.nytimes.com/2006/08...
[4] http://curia.europa.eu/juris/d...
[5] http://curia.europa.eu/juris/d...