Wat zijn persoonsgegevens?
De Algemene verordening gegevensbescherming (AVG) geeft aan dat een persoonsgegeven alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Gegevens over organisaties zijn geen persoonsgegevens volgens de AVG.
Voorbeelden van persoonsgegevens
Er zijn veel soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens.
Er kan ook sprake zijn van indirecte persoonsgegevens. Het gaat dan om gegevens die in combinatie met andere gegevens iets zeggen over een persoon. Of, met andere woorden, tot een persoon herleidbaar zijn.
Gegevens van overleden personen
Op gegevens van overleden personen is de AVG niet van toepassing.
Bijzondere persoonsgegevens
Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd.
Het is verboden om bijzondere persoonsgegevens te verwerken, tenzij er een wettelijke uitzondering is.
Bescherming van persoonsgegevens
Bescherming van de persoonlijke levenssfeer is een grondrecht. Dit recht is geregeld in:
- artikel 10 lid 1 van de Grondwet;
- artikel 8 van het Europees Verdrag inzake de rechten van de mens en de fundamentele vrijheden (EVRM);
- artikel 7 van het Handvest van de Grondrechten van de Europese Unie;
- artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR).
Daarnaast is in artikel 8 van het Handvest een expliciet recht op bescherming van de persoonsgegevens opgenomen.
Deze artikelen geven aan dat er een wet moet zijn voor de bescherming van persoonsgegevens. Zodat ieders recht op privacy is gewaarborgd. Dat zijn in Nederland de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG).
Bekijk binnen het onderwerp Wat zijn persoonsgegevens?
Alle antwoorden op mijn vragenVragen over persoonsgegevens
-
Wat houdt verwerken van persoonsgegevens in?
Verwerken van persoonsgegevens houdt in: alles wat een organisatie met persoonsgegevens kan doen, van verzamelen tot en met vernietigen.
Verwerken is dus een zeer ruim begrip. Handelingen die er volgens de Algemene verordening gegevensbescherming (AVG) in ieder geval onder vallen, zijn: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernietigen van gegevens.
Voorbeelden verwerken
Voorbeelden van het verwerken van persoonsgegevens zijn:
- een foto van iemand op een website plaatsen;
- beelden van beveiligingscamera's opslaan;
- e-mailadressen verzamelen om een nieuwsbrief te versturen;
- een ledenadministratie bijhouden door een vereniging;
- IP- of MAC-adressen verzamelen;
- een dossier op naam van een persoon opvragen;
- (personeels)dossiers wissen nadat de bewaartermijn is verlopen;
- een bestand raadplegen met daarin (bijzondere) persoonsgegevens;
- een elektronisch medisch dossier verwijderen.
Geen verwerking
Het verstrekken van informatie hoeft niet altijd een verwerking te zijn.
Vraagt een organisatie bijvoorbeeld algemene informatie op bij een andere organisatie? Zonder dat de eerste organisatie daarbij persoonsgegevens noemt? En verstrekt de andere organisatie ook geen persoonsgegevens?
Dan hoeft er geen sprake te zijn van verwerken. En is de privacywet AVG niet van toepassing.
-
Wat regelt de Algemene verordening gegevensbescherming (AVG)?
De Algemene verordening gegevensbescherming (AVG) regelt wat er allemaal wel en niet mag met de persoonsgegevens van mensen. Bij elk gebruik van persoonsgegevens geldt dat de privacyinbreuk zo klein mogelijk moet zijn.
De AVG regelt ook wat de privacyrechten van mensen zijn als organisaties hun gegevens verwerken. Bijvoorbeeld dat zij recht hebben op informatie over het gebruik van hun gegevens. En dat zij inzage en rectificatie van hun gegevens mogen vragen.
De AVG bepaalt dat een organisatie alleen persoonsgegevens mag verwerken als daarvoor minimaal 1 grondslag is. De AVG kent 6 grondslagen, waaronder bijvoorbeeld het geven van toestemming of de bescherming van de vitale belangen.
Organisaties mogen deze persoonsgegevens bovendien niet zomaar voor een ander doel gebruiken. Zij zijn verplicht om persoonsgegevens goed te beveiligen. En zij hebben de verantwoordingsplicht om aan te tonen dat zij aan de privacyregels voldoen.
-
Welke bijzondere persoonsgegevens zijn er?
De Algemene verordening gegevensbescherming (AVG) ziet deze persoonsgegevens als bijzondere persoonsgegevens:
- persoonsgegevens waaruit ras of etnische afkomst blijkt;
- persoonsgegevens waaruit politieke opvattingen blijken;
- persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
- persoonsgegevens waaruit het lidmaatschap van een vakvereniging blijkt;
- gegevens over iemands gezondheid;
- gegevens over iemands seksueel gedrag of seksuele gerichtheid;
- genetische gegevens;
- biometrische gegevens met het oog op de unieke identificatie van een persoon.
Een organisatie mag geen bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering is. Zie verder:
-
Wie is de verwerkingsverantwoordelijke en wie de betrokkene bij het verwerken van persoonsgegevens?
De verwerkingsverantwoordelijke is een persoon of een organisatie die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt.
De verwerkingsverantwoordelijke kan dit alleen doen of samen met anderen. Het houdt in dat de verwerkingsverantwoordelijke uiteindelijk beslist of een organisatie persoonsgegevens verwerkt, en zo ja:
- om welke verwerking het gaat;
- welke persoonsgegevens de organisatie hierbij verwerkt;
- voor welk doel de organisatie dit doet;
- op welke manier de organisatie dit doet.
De betrokkene is degene van wie een organisatie persoonsgegevens verwerkt. Dit is dus degene op wie de persoonsgegevens betrekking hebben.
Als u andere partijen inschakelt om persoonsgegevens voor u te verwerken, moet u met deze organisaties een 'verwerkersovereenkomst' afsluiten.