Wat zijn persoonsgegevens?

De Wbp kende de volgende definitie toe aan een persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

De GDPR geeft een iets ruimere definitie aan persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. De GDPR geeft met deze definitie duidelijker aan wat men met identificeerbaar bedoeld.

Maar wat staat er nu precies?

Gegevens zijn persoonsgegevens als deze informatie bevatten over:

  1. Een natuurlijk persoon (dus geen overledenen en bedrijven)
  2. Die persoon direct of indirect kan worden geïdentificeerd. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.

Ook indien je zelf niet in staat bent om aan de hand van het gegeven de persoon te identificeren, maar een ander instantie wel, gaat het om een persoonsgegeven. Denk bijvoorbeeld aan een kenteken van een auto. In eerste instantie kun je zelf niet de eigenaar van de auto identificeren, maar de RDW wel.

Als door een combinatie van data of bestanden kan blijken om welke persoon het gaat, is er ook sprake van persoonsgegevens. Een postcode alleen is bijvoorbeeld niet te herleiden naar een persoon. Maar wellicht postcode in combinatie met leeftijd wel, aangezien er wellicht maar 1 persoon op die postcode woont met die leeftijd. Deze persoon is op die wijze identificeerbaar geworden. De combinatie postcode en leeftijd resulteert hier dus in een persoonsgegeven.

Persoonsgegevens omvatten de volgende soorten gegevens:

  • Direct identificeerbare gegevens. Gegevens die een persoon direct identificeren, zoals
    een naam of een e-mailadres.
  • Indirect identificeerbare gegevens. Waar een persoon kan worden geïdentificeerd door
    het combineren van meerdere gegevens. Bijvoorbeeld IP-adressen,
    mobile device id’s of klantnummers.
  • Gepseudonimiseerde gegevens. Dit is waar gegevens die een persoon identificeert, worden verwijderd en vervangen wordt door kunstmatige identificatiemiddelen of pseudoniemen. Maike Boumen wordt bijvoorbeeld omgecodeerd tot 763564AB63. Vervolgens worden de gepseudonimiseerde dataset en de codering apart bewaard. Wanneer de gepseudonimiseerde dataset geraadpleegd wordt of gedeeld wordt met derden, moeten zij nog steeds als persoonsgegevens behandeld worden. Het pseudonimiseren van data is een beveiligingsmaatregel en vermindert het privacyrisisco van betrokkenen.

Geanonimiseerde gegevens zijn geen persoonsgegevens en zijn dus niet onderworpen aan de GDPR-vereisten. Dat wil zeggen, gegevens die geen betrekking hebben op een persoon of gegevens die op een zodanige manier anoniem worden gemaakt dat een persoon niet kan worden geïdentificeerd.

Tot slot, de GDPR onderscheidt gewone persoonsgegevens van bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens die extra gevoelig zijn, zoals gegevens over godsdienst, ras en gezondheid. Het verwerken van bijzondere persoonsgegevens is zowel op grond van de Wbp als de GDPR in beginsel verboden en mogen daarom alleen onder zeer strenge voorwaarden worden verwerkt. In de GDPR zijn de categorieën bijzondere persoonsgegevens ten opzichte van de Wbp uitgebreid met genetische en biometrische gegevens. Zie de afbeelding hieronder voor een compleet overzicht.

persoonsgegevens gdpr tabel