Uitleg Persoonsgegevens, Algemene Verordening Persoonsgegevens | AVG

//Uitleg Persoonsgegevens, Algemene Verordening Persoonsgegevens | AVG

Uitleg Persoonsgegevens, Algemene Verordening Persoonsgegevens | AVG


Dit is het tweede deel van het serie over de Algemene Verordening Gegevensbescherming. In het vorige deel hebben we het algemeen gehouden. In dit deel gaan we dieper in op het begrip persoonsgegevens. We zullen de volgende vragen voor u beantwoorden:

  • Wanneer heeft u met Persoonsgegevens te maken?
  • Wat kwalificeert als een Persoonsgegeven?
  • Hoe voorkomt u dat u te maken krijgt met persoonsgegevens?

 

Boetes

De Autoriteit Persoonsgegevens heeft nooit boetes uitgedeeld maar dat zal zeker in de toekomst wel veranderen. En dat komt omdat ze;

 

  • Meer bevoegdheid hebben gekregen om boetes uit te delen
  • Hun budget gaat verdubbelen in 2018 en 2019. Hierdoor krijgen ze meer opsporingscapaciteit.

 

De gemiddelde organisatie zal niet zo snel te maken krijgen met boetes de Autoriteit Persoonsgegevens. De boetes eerste boetes zullen worden gegeven aan ofwel multinationals ofwel bedrijven die bewust er met de pet heen gooien.

 

Persoonsgegevens.

Persoonsgegevens; de definitie persoonsgegevens bestaat uit 3 elementen;

Alle informatie, over natuurlijke personen, die geïdentificeerd of identificeerbaar zijn.

 

Alle Informatie

Het eerste element; Alle informatie. De wetgever heeft er voor gekozen om het begrip persoonsgegevens vormvrij te maken. Het is een heel breed begrip. Met alle informatie wordt ook daadwerkelijk alle informatie bedoeld. Dat betekend;

  • videobeelden,
  • geluidsopnames,
  • teksten,
  • computerbestanden,
  • DNA-materiaal,
  • schilderijen,
  • foto’s,
  • etc.

Zelfs een gedachte kan in theorie een persoonsgegeven zijn. Al valt dit niet onder de Algemene Verordening Gegevensbescherming. Hierover misschien meer in een ander webinar. Wanneer u dus gegevens gaat identificeren binnen je organisatie is het belangrijk een open blik te houden alles kan in potentie een persoonsgegeven zijn.  

 

Natuurlijk Personen

Het tweede element natuurlijke personen. Met natuurlijke personen wordt bedoeld levende personen. Op het moment dat iemand overlijd zijn alle gegevens over die persoon geen persoonsgegevens meer. Maar er zit een addertje onder het gras. Vaak zeggen gegevens over overleden personen ook iets over mensen die nog leven. Bijvoorbeeld in de zin: “Piets vader is overleden.” Dit zegt natuurlijk iets over de vader van Piet omdat de man is overleden is het geen persoonsgegeven. Maar omdat het wel wat over Piet zegt is het om die reden wel een persoonsgegeven. Net zoals informatie over het vermogen van de overledene een persoonsgegeven is, want dit zegt ook wat over het vermogen van de erfgenaam. Dus ook daar weer moet er wel mee opgepast worden.

 

De wetgever heeft de definitie Natuurlijke Personen gebruikt om het onderscheid te maken met de gegevens over bedrijven. Gegevens over bedrijven zijn in het beginsel geen persoonsgegevens. Maar let op gegevens over bedrijven kunnen ook wat zeggen over een Natuurlijk Personen. Dit verschilt van geval tot geval. Vaak wanneer men denkt dat een klantenbestand met alleen bedrijven erin geen persoonsgegevens bevat dan kunnen deze daar toch tussen zitten.

 

Bijvoorbeeld de gegevens van de contactpersonen of e-mails van bedrijven worden vaak gestuurd door natuurlijke personen, dus daar moet je ook voor oppassen. Zelfs gegevens over een bedrijf kunnen ook iets zeggen over een Natuurlijk Persoon. Dat zie je voornamelijk als je voor kleine organisaties werkt. Bijvoorbeeld de balans van een eenmanszaak zegt ook iets over het vermogen van het Natuurlijke Persoon erachter.

 

De balans van een multinational zegt aan de andere kant niks over een Natuurlijk Persoon en is dus geen persoonsgegeven. Ook hier weer, dit begrip wordt uitgebreid uitgelegd en het is dus belangrijk een open vizier te houden. Er kan dus niet zomaar gesteld worden dat een bedrijfsdatabase geen persoonsgegevens bevat. Dat ligt allemaal wat genuanceerder.

 

Geïdentificeerd of identificeerbaar

Het derde element is geïdentificeerd of identificeerbaar. Het element waar vaak de meeste discussie over is. Geïdentificeerd betekent dat je de persoon kunt aanwijzen binnen een groep mensen. Als voorbeeld men heeft een foto heb met een hele groep mensen erop en ik wijs op één persoon en ik zeg “Ik zoek de persoon met de groene jas.” Dan is die zin een persoonsgegeven. Ook al weet ik niet wie de persoon met de groene jas is. Je kunt op dat moment aanwijzen in die groep met mensen.

 

Meestal identificeer je mensen aan de hand van hun naam maar dat hoeft dus niet. Het is al enkel voldoende dat je iemand kunt aanwijzen in een groep met mensen. Identificeerbaar betekent dat je iemand kunt identificeren. En daarmee bedoelen ze met de middelen die men redelijkerwijs voor handen heeft. Echter, een persoon is tevens identificeerbaar op het moment dat een derde partij die persoon kan identificeren.

 

Een eenvoudig voorbeeld is een medisch vakblad waarin een röntgenfoto staat met het bijschrift: dit is patiënt Piet. Is dit nu een persoonsgegeven? Nee zou je zeggen want niemand weet wie Piet is. Er zijn namelijk miljoenen mensen die Piet heten. Maar het personeel op de afdeling waar Piet verpleegd wordt zal ook het vakblad lezen. Zij weten dus wel wie Piet is en over welke casus het gaat.  En om die reden is dan wel weer sprake van een persoonsgegeven.

Een uitgebreider voorbeeld. IP-adressen bij analytics software. De meeste websites hebben software geïnstalleerd waarmee het aantal bezoekers wordt geteld. Die software registreert ook IP-adressen van de bezoekers. De vraag is dan zijn dit persoonsgegeven?

Nee zal de eigenaar van de website zeggen. Omdat hij niet weet niet wie achter het IP-adres zit. Hij kan hoogstens zeggen dat het IP-adres uit een bepaalde provincie komt.

De autoriteit persoonsgegevens denkt daar echter anders over. Zij zeggen dat misschien hij dat niet weet maar het kan zijn dat de een derde partij dat wel misschien kan. De politie bijvoorbeeld, die deze gegevens kan opvragen in verband met een onderzoek naar een strafbaar feit, kan deze het ip-adres invoeren in de centrale CIOT-database en vervolgens binnen enkele muisklikken ontdekken op welk adres het IP-adres geregistreerd is.

U ziet wanneer een derde partij die de gegevens in handen kan krijgen, wel de persoon kan identificeren en dat er daarom sprake is van persoonsgegevens. Natuurlijk zijn hier weer kanttekeningen te plaatsen. Een IP-adres van een grote instelling of een universiteit is geen persoonsgegeven. Maar omdat de meeste IP-adressen wel toebehoren aan een beperkte groep mensen; een gezin, een persoon worden ze gerekend tot persoonsgegevens.

 

Aan die voorbeelden kun je dus zien dat het begrip identificeerbaarheid heel ver reikt. De moeilijkheid waar de meeste organisaties dan mee zitten is dat het begrip identificeerbaar niet alleen over één persoonsgegeven gaat maar ook een combinatie zijn van. Tevens zie  je vaak in een databases, dat wanneer je geen naam hebt van een persoon dan toch een profiel kan vormen waarmee je één persoon kan aanwijzen. Een combinatie van gegevens maakt dat het een persoonsgegeven is.

 

Met de moderne data analyse technieken krijg je steeds sneller te maken met persoonsgegevens. Het punt is dat wanneer je gegevens 10 jaar wilt opslaan je daar nu al rekening mee moet houden. Zelfs met de technieken die dan redelijkerwijs beschikbaar zijn. Daarom zie je dat het begrip identificeren redelijk ver reikt. Daar ontstaat dan ook de de meeste discussie over.

 

Wij weten nu dat persoonsgegevens uit drie elementen bestaan. En dat is ook relevant want als je dus handig met die gegevens omgaat dan kun je er dus voor zorgen dat deze gegevens geen persoonsgegevens meer zijn. En dat scheelt want dan hoef je voor die gegevens niet meer te voldoen aan de Algemene Verordening Persoonsgegevens.

In feite kun je voor persoonsgegevens een branddriehoek maken zoals voor vuur die je leerde op de middelbare school. Je krijgt alleen vuur wanneer er sprake is van; brandstof, zuurstof en hitte. In het geval van Persoonsgegevens zou je dit ook kunnen doen. Je hebt namelijk de drie elementen: informatie over een natuurlijk persoon die geïdentificeerd of identificeerbaar is. Wanneer er één van deze elementen ontbreekt dan is er geen sprake meer van persoonsgegevens.

 

  • Een oplossing zou kunnen zijn alle informatie wissen.
  • De tweede oplossing is zorgen dat er geen natuurlijk persoon meer is, dat is misschien wat drastisch.
  • De derde oplossing en de meest gebruikte is de identificeerbaarheid van de persoon verwijderen.

 

De derde oplossing wordt vrijwel het meeste toegepast maar het anonimiseren is niet simpel. Hieraan worden zeer zware eisen gesteld. Het moet onomkeerbaar zijn en je moet er absoluut niet meer kunnen vaststellen wie die persoon is. Om dit te bewerkstelligen zijn er verschillende technieken. Bijvoorbeeld bij IP-adressen verwijderen ze de laatste vier cijfers van het adres. Maar hiervoor moet gewaakt worden omdat je ondanks alles een grote database ontstaat waardoor er toch nog een profiel gevormd kan worden. Dus anonimiseren is lastig, maar vaak wel de beste manier om ervoor te zorgen dat de gegevens geen persoonsgegevens meer zijn en nog wel bruikbaar zijn.

 

Dus het begrip persoonsgegevens bestaat uit drie elementen. Alle informatie over natuurlijke personen die geïdentificeerd of identificeerbaar zijn. Wanneer u in uw organisatie gaat zoeken naar persoonsgegevens of persoonsgegevens gaat identificeren is het belangrijk een open vizier te houden omdat informatie al heel snel wordt gezien als persoonsgegevens.

In het volgende deel gaan we het hebben over de verwerking. Een vraag stellen hierover is natuurlijk altijd mogelijk neem dan graag contact met ons op via het onderstaande contactformulier of mail ons op info@mulders-advocaten.nl

 

2018-04-05T15:59:20+00:00 maart 29th, 2018|AVG|0 Comments

Leave A Comment

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.