Privacy: wat is nu eigenlijk een persoonsgegeven?


In deze blogreeks over privacy ga ik in op de verschillende onderdelen van een goed privacy management framework. Uitgebreide juridische verhandelingen laat ik zoveel mogelijk achterwege. Graag geef ik je een aantal praktische handvaten om te komen tot een verantwoorde omgang met persoonsgegevens.

In dit eerste deel van de blogreeks ga ik in op de basis. Wat is nu eigenlijk een persoonsgegeven, en waarom zijn er specifieke regels bedacht voor die gegevens?

Bij elke discussie over privacy en persoonsgegevensverwerkingen duikt altijd wel ergens de discussie op: “Is dit eigenlijk wel een persoonsgegeven?” (In diezelfde discussies merk ik dat er vaak erg makkelijk over het belang van goede bescherming heen gestapt wordt, maar dat is onderwerp van een volgend blog.)

Wettelijke definities persoonsgegeven

Ik weet het, ik had beloofd geen juridische verhalen af te steken, maar ik zal af en toe toch even grijpen naar de teksten in de Wet Beschermingspersoonsgegevens (WBP) of naar de Algemene Verordening Gegevensbescherming (AVG). Naar de eerste omdat deze op dit moment nog steeds de wet in Nederland is, en we dus volgens de WBP moeten werken, de laatste omdat alle verwerkingen per 25 mei 2018 aan de Europese verordening moeten voldoen. We zitten nu nog een jaar met beide.

Terug naar de vraag: Wat is een persoonsgegeven? In artikel 1a (de definities) van de WBP staat:


Persoonsgegeven: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon


Een simpele definitie die eigenlijk wel helemaal ontleed moet worden om te kunnen bepalen wat er nu staat. We beginnen met de eerste twee woorden, Elk gegeven, het maakt dus niet uit wat voor gegeven het is, het gaat om alles wat als gegeven kan worden beschouwd. Het is ook in enkelvoud. Dit is relevant, het hoeft dus geen grote verzameling te zijn van allerlei gegevens die samen persoonsgegevens zijn. Het kan al vanuit één gegeven komen. Maar het brokje data moet wel betrekking hebben op een natuurlijke persoon en dat is gelijk de link naar de laatste twee woorden van het wetsartikel. Dan hebben we nog over, een geïdentificeerde of identificeerbare, het gegeven moet dus kunnen resulteren in het aanwijsbaar (identificeerbaar) zijn of maken van een persoon.

De AVG geeft een iets uitgebreidere definitie in artikel 4:


„persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;


De EU heeft geeft met deze definitie duidelijker weer wat identificeerbaar is.

Samenvattend is dus een persoonsgegeven alles wat in verband kan worden gebracht met een natuurlijk persoon. Het kan dus gaan over, de naam van een persoon, een foto, een telefoonnummer (ook een zakelijk nummer), een personeelsnummer, een bankrekeningnummer, een kenteken, een audio of video opname, en soms zelfs postcodes en huisnummers (zie WBP). Het gaat overigens wel steeds (in het kader van de persoonsgegevens) over een levende natuurlijke persoon, rechtspersonen, verenigingen of gegevens betrekking hebbende op overleden personen vallen niet onder deze wetgevingen.

Let ook op combinaties van gegevens

In een aantal gevallen is context of samenhang van gegevens ook belangrijk. Denk hierbij aan de volgende situatie waarbij strikt anonieme gegevens worden gekoppeld (in context met elkaar worden gebracht) waardoor het resultaat wel een persoonsgegeven (een gegeven waardoor een persoon geïdentificeerd kan worden) oplevert. Binnen een big data omgeving gaan we, voor statistische doeleinden binnen een postcode gebied opzoek naar iedereen binnen een bepaalde leeftijdscategorie met een brommer. We koppelen dus postcode (1234AA), leeftijd (18) en brommerbezit (ja/nee) aan elkaar. Geen van deze gegevens is los van elkaar direct een persoonsgegeven. Immers met alleen een postcode wordt het moeilijk één specifiek persoon aan te wijzen. Maar de combinatie kan dat wel zijn, als in een postcode gebied maar één 18-jarige ingeschreven staat die al dan niet in bezit is van een brommer. Deze 18 jarige is daarmee direct identificeerbaar geworden. De combinatie van gegevens (de context) geeft hier dus een persoonsgegeven.

Naast deze context geeft de toelichting van de AVG ook nog aan dat om te bepalen of een natuurlijk persoon identificeerbaar is er rekening moet worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij gebruikt kunnen worden om de persoon direct of indirect te identificeren [Overweging 16 AVG]. Als voorbeeld moet ik zelf altijd denken aan de casus van Thelma Arnold. Een 62-jarige weduwe uit Amerika werd door de New York Times (in dit geval met haar toestemming) geïdentificeerd op basis van eigenschappen van de zoekstrings. Hier was alleen een code voldoende om met basismiddelen mevrouw Arnold te identificeren.

We moeten dus letten op meer dan alleen de voor de hand liggende persoonsgegevens. Het is van belang dat er voor elk informatiesysteem wordt bepaalt welke gegevens, die mogelijk zelfstandig of in combinatie met andere, gebruikt kunnen worden om een persoon te identificeren. Hiervoor zijn verschillende technieken in omloop (zoals de gegevensbeschermingseffectbeoordeling, in slecht Nederlands ook wel de PIA genoemd), maar daar ga ik in een volgend blog dieper op in.

Persoonsgegevens die sowieso niet mogen worden verwerkt

Naast de “standaard” persoonsgegevens kennen zowel de WBP(artikelen) als de AVG (artikel 9 en 10) ook nog bijzondere persoonsgegevens. Deze mogen (uiteraard uitzonderingen die zijn opgenomen in de WBP in artikelen 17 t/m 24 daargelaten) nooit worden verwerkt. Bijzondere gegevens zijn alle gegevens waaruit Ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid (artikel 9 lid 1 van de AVG). En Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten. (artikel 10 AVG). In de WBP staat ook nog het burgerservicenummer (BSN) als een bijzonder persoonsgegeven genoemd omdat het een uniek en tot de persoon herleidbaar nummer is. In de komende Uitvoeringswet Algemene verordening gegevensbescherming zal het BSN weer worden opgenomen. (artikel 35).

De volgende keer

In een volgend blog zal ik ingaan op de verwerking van persoonsgegevens: Wat houdt dat verwerken in? En welke partijen zijn daarbij te onderscheiden, en hoe zorg ik voor een goede registratie van die verwerkingen. Maar ook: Hoe kom ik er achter waar in mijn systemen persoonsgegevens zijn opgeslagen? (dit is op dit moment de grote uitdaging in veel bedrijven)

AVG-training voor IT-professionals

Bekijk hier de AVG training voor IT-professionals


DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • Controle is van gisteren, vertrouwen is van nu

    Het Security team van inspearit hanteert als motto “Sturen op vertrouwen, bouwen aan vertrouwen”. Die nadruk op vertrouwen, dat klinkt vreemd voor een team dat zich met security bezig houdt.

    Lees verder
  • Informatiebeveiliging uit een doosje?

    Hoe komt het toch dat er nog steeds een trend lijkt te bestaan dat informatiebeveiliging kan worden gekocht door een mooi nieuw doosje of product aan te schaffen? Het zou natuurlijk ook mooi zijn als die belofte eindelijk bewaarheid zou kunnen worden, maar ik zie steeds meer parallellen met de verkooptrucjes van allerlei prullaria die overdag op TV worden verkocht.

    Lees verder
  • Privacy: De AVG? Wij verzekeren ons wel

    De AVG? Wij verzekeren ons wel. Er gaan op verschillende plaatsen discussies rond met als strekking deze stelling. In deze blog een betoog waarom dit moreel (en juridisch) een verwerpelijk standpunt is.

    Lees verder
  • ​Privacy: Stand van zaken

    Tijdens deze blog gaat Jacques Eding het hebben over zijn bemerkingen rondom privacy nu we nog minder dan een jaar hebben voordat we aantoonbaar in control en compliant moeten zijn aan de Algemene Verordening Gegevensbescherming (AVG).


    Lees verder
  • Privacy: Bewaartermijnen uitgelegd

    In deze blog over privacy gaat Jacques Eding in op de verschillende onderdelen van een goed privacy management framework.

    Lees verder
  • Privacy: Wat is een Functionaris Gegevensbescherming?

    We zijn aangekomen bij deel zes van de blog serie. Zoals vorige week aangekondigd wordt deze blog weer iets praktischer van aard.

    Lees verder
  • ​Privacy: De wettelijke kaders voor de verwerking (vervolg)

    Dit is al weer het vijfde deel. We zijn gevorderd tot artikel 6 van de Algemene Verordening Gegevensbescherming (AVG), de rechtmatigheid van de verwerking. Wat er moet worden bepaald voor dat er sprake mag zijn van verzamelen en verwerken van persoonsgegevens.

    Lees verder
  • ​Privacy: De wettelijke kaders voor de verwerking

    In dit vierde deel behandel ik weer meer formele insteek, wat er moet worden bepaald voordat er sprake mag zijn van verzamelen en verwerken van persoonsgegevens. Ik ga verder met doelbinding, grondslagen voor verwerking en de begrippen proportionaliteit en subsidiariteit.

    Lees verder
  • Privacy: Wat mag er eigenlijk verwerkt worden?

    Jacques Eding blogt over privacy: Wanneer mogen persoonsgegevens nu eigenlijk verwerkt worden?

    Lees verder
  • Privacy: Wat betekent “verwerken”?

    Jacques Eding blogt over privacy: Wanneer ben ik nu persoonsgegevens aan het verwerken en wanneer ook niet?

    Lees verder

Cookies op de website van Inspearit

Wij plaatsen functionele cookies, om deze website naar behoren te laten functioneren, analytische cookies waarmee wij het gebruik van de website kunnen meten en cookies van derden voor het weergeven van emdeded media (YouTube en GoogleMaps) Hieronder kan je aangeven welke andere soorten cookies je wilt accepteren:

Meer informatie