Charlotte's Law & Fine Prints

Juridisch Advies voor Ondernemers

Privacy: Wat zijn persoonsgegevens?

door

De AVG (Engels: GDPR) en UAVG zijn regels die gaan over het mogen verwerken van persoonsgegevens. Als iets dus niet een persoonsgegeven is, maar bijvoorbeeld wel een bedrijfsgegeven, zijn de regels niet van toepassing. Dat betekent dat je veel meer mag met gegevens die geen persoonsgegevens zijn. Daarom de vraag: wat zijn persoonsgegevens?

Definitie Persoonsgegevens

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon zijn persoonsgegevens.

Kun je op basis van de informatie een persoon direct of indirect identificeren, dan is die informatie een persoonsgegeven.

Natuurlijke personen

Het gaat dus altijd om natuurlijke personen en niet om rechtspersonen. Maak hierbij niet de, eenvoudig gemaakte, fout dat er een onderscheid is tussen natuurlijke personen en ondernemingen. Eenmanszaken, zoals freelancers, ZZP’ers of zelfs eenmanszaken mét personeel, en VOF’s zijn misschien wel ondernemingen, in elk geval voor de KvK en allerlei belastingen, maar het zijn geen rechtspersonen. Eenmanszaken en VOF’s zijn natuurlijke personen die handelen in de uitoefening van beroep of bedrijf.

De gegevens van een eenmanszaak of VOF zijn dus ook persoonsgegevens.

Zowel de naam, het KvK-nummer als het adres van een eenmanszaak of VOF zijn dus persoonsgegevens, namelijk de persoonsgegevens van de eigenaar/vennoten.

Daarnaast nog: het gaat ook niet om overleden personen. Het klinkt wat grof, maar als het gaat om de bescherming van persoonsgegevens, zijn overledenen geen personen meer.
In Nederland bestaat er wel een portretrecht tot 10 jaar na het overlijden.

Voorbeelden persoonsgegevens

Persoonsgegevens zijn in elk geval alle gegevens waaraan je meteen denkt die horen bij een persoon.

De AVG noemt daarbij al naam, identificatienummer (zoals BSN of paspoortnummer, klantnummer en personeelsnummer), locatiegegevens (zoals woonadres, werkadres, schooladres, vakantieadres, GPS-locatie), online identificator (bijvoorbeeld IP-adres, MAC-adres, IMEI-nummer en cookies), een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of social identiteit.

Zo kun je natuurlijk ook wel begrijpen dat bijvoorbeeld een geboortedatum, telefoonnummer, bankrekeningnummer, e-mailadres, gebruikersnaam, pasfoto, nummer van je OV-chipkaart, polisnummer bij een verzekering, CV, sollicitatiebrief, zakelijk doorkiesnummer, persoonlijk e-mailadres bij een werkgever, strafrechtelijke gegevens en inloggegevens allemaal persoonsgegevens zijn.

Ook ‘gebruikersgegevens’ zijn persoonsgegevens. Een dossier over een persoon, zelfs zonder naam, is informatie over een persoon, dus een persoonsgegeven. Zelfs examenuitslagen zijn persoonsgegevens. Maar denk ook aan alle publicaties, interviews, uitingen op social media, je bestelgeschiedenis bij Albert Heijn, PicNic of thuisbezorgd, gebruikersdata van je telefoon, de routes, afstanden en tijden in je hardloop app, de statistieken over je social media gebruik, je surfgedrag op internet en wat je maar niet meer kunt bedenken.

Het gaat echter veel verder dan dat.

Informatie die een persoon kan identificeren

Het gaat er niet alleen om of jij door die gegevens meteen weet over wie het gaat. Ook wanneer je hulp van derden nodig hebt en met redelijke middelen achter de identiteit van een persoon kunt komen, zijn het persoonsgegevens.

Alleen wanneer de kosten en de tijd en beschikbare technologie te wensen over laten en het dus te veel tijd, geld en moeite zal kosten (in het algemeen) om een persoon te kunnen identificeren, is er geen sprake van een persoonsgegeven.

Een kenteken is voor jou en mij geen persoonsgegeven. Maar zonder al te veel tijd, geld en moeite is het voor de RvW wel een persoonsgegeven, dus is een kenteken in algemene zin een persoonsgegeven.

Een persoon op een straatfoto is niet altijd zonder extreem veel tijd, geld en moeite te identificeren. Als het bijna onmogelijk is om iemand te identificeren, dan is het geen persoonsgegeven.

Pseudonieme gegevens zijn ook persoonsgegevens

Er is sprake van een pseudoniem gegeven, wanneer dat gegeven iemand niet direct identificeert, maar gecombineerd met andere gegevens de informatie wel tot identificatie kan leiden. Pseudnomisering kan een onderdeel van de beveiliging zijn. Belangrijk is dan wel dat de verschillende gegevens niet met elkaar gekoppeld zijn of gekoppeld kunnen worden.

Pseudonieme gegevens zijn dus wel altijd persoonsgegevens, omdat het gecombineerd met andere gegevens wel een persoon kan identificeren.

Onjuiste gegevens kunnen ook persoonsgegevens zijn

Verouderde gegevens, tikfouten in een adres, vergissingen. Het kan toch allemaal leiden tot persoonsgegevens. De fouten doen er namelijk niet toe, wanneer je met die foute gegevens, direct of indirect, toch een persoon kunt identificeren.

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens zijn uiteraard ook persoonsgegevens. Het verschil is dat bijzondere persoonsgegevens niet verwerkt mogen worden, tenzij er een wettelijke uitzondering bestaat op basis waarvan het toch verwerkt mag worden. De lijst met bijzondere persoonsgegevens is een vaste lijst:

  • ras of etniciteit
  • politieke opvattingen
  • religieuze of levensbeschouwelijke overtuiging
  • lidmaatschap van een vakbond
  • gezondheidsgegevens en medische gegevens
  • seksueel gedrag en seksuele voorkeur of gerichtheid
  • genetische gegevens
  • biometrische gegevens wanneer ze gericht zijn op identificatie

Wil jij weten of de informatie die jij hebt ook persoonsgegevens zijn en of en hoe je ze mag verwerken? Of heb je hulp nodig bij een privacyverklaring? Boek een oploskoffie!

Over Charlotte

Charlotte Meindersma is 'de social media jurist van Nederland' en oprichter van Charlotte's Law & Fine Prints.
Ze drinkt graag oploskoffie, in de spreekwoordelijke zin van het woord. Bovendien is ze amateur-marketer en was ze in een vorig leven fotograaf.