Wat zijn persoonsgegevens?

In de privacywet Algemene verordening gegevensbescherming (AVG) staat dat een persoonsgegeven ‘alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon’. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. 

Op deze pagina

De definitie van persoonsgegevens staat in artikel 4, lid 1, AVG.

Voorbeelden persoonsgegevens

Er zijn veel soorten persoonsgegevens. Voor de hand liggende persoonsgegevens zijn iemands naam, adres, telefoonnummer en pasfoto. Maar persoonsgegevens zijn bijvoorbeeld ook wat iemand op internet koopt, of die persoon allergieën heeft en beelden van een bewakingscamera waar diegene herkenbaar op staat.  

Sommige persoonsgegevens gaan direct over iemand. Daarnaast zijn er gegevens die niet direct over iemand gaan, maar die wel naar die persoon te herleiden zijn. Het gaat dan om gegevens die in combinatie met andere gegevens iets zeggen over een persoon. Bijvoorbeeld het IP-adres van iemands smartphone. 

Geen persoonsgegevens

De volgende gegevens zijn volgens de AVG geen persoonsgegevens:

  • gegevens over organisaties (rechtspersonen);
  • gegevens van overleden personen.  

Dat betekent dat de AVG voor deze gegevens niet geldt. Tenzij de informatie ook iets zegt over een (natuurlijk) persoon.

Informatie over een rechtspersoon

Informatie over een rechtspersoon kan ook iets zeggen over een natuurlijk persoon. Bijvoorbeeld als:

  • de naam van de rechtspersoon is afgeleid van de naam van een natuurlijk persoon;
  • het e-mailadres van een bedrijf alleen wordt gebruikt door een specifieke werknemer;
  • informatie over een klein bedrijf ook iets zegt over het gedrag van de eigenaar.

In zo'n geval zijn het wel persoonsgegevens. En geldt daarvoor de AVG.

Informatie over een overleden persoon

Informatie over een overleden persoon kan ook iets zeggen over een levend persoon. Bijvoorbeeld bij een erfelijke ziekte. Dan zijn het persoonsgegevens van de levende persoon. En geldt daarvoor de AVG. 

Dit kan bijvoorbeeld spelen bij een stamboom op internet. Staan daarin de ziekten vermeld waaraan mensen zijn overleden? Dan kan die informatie ook van toepassing zijn op de nabestaanden. En mag die informatie alleen op internet worden gepubliceerd als de nabestaanden daarvoor toestemming hebben gegeven. Zie verder: Gegevens verwijderen van een website.

Bijzondere persoonsgegevens

De AVG maakt onderscheid tussen ‘gewone’ en ‘bijzondere’ persoonsgegevens (de letterlijke term in de AVG is: ‘bijzondere categorieën van persoonsgegevens’).

Bijzondere persoonsgegevens zijn gegevens die zó privacygevoelig zijn dat het grote(re) impact op iemand kan hebben als deze gegevens worden verwerkt. Daarom krijgen bijzondere persoonsgegevens extra bescherming in de AVG. Dit staat in artikel 9 AVG.

De AVG ziet deze persoonsgegevens als bijzondere persoonsgegevens:

  • persoonsgegevens waaruit iemands ras of etnische afkomst blijkt;
  • persoonsgegevens waaruit iemands politieke opvattingen blijken;
  • persoonsgegevens waaruit iemands religieuze of levensbeschouwelijke overtuigingen blijken;
  • persoonsgegevens waaruit het lidmaatschap van een vakbond blijkt;
  • gegevens over iemands gezondheid;
  • gegevens over iemands seksueel gedrag of seksuele gerichtheid;
  • genetische gegevens;
  • biometrische gegevens (bedoeld voor de unieke identificatie van een persoon).

Genetische persoonsgegevens

Genetische persoonsgegevens geven unieke informatie over iemands fysiologie of gezondheid en/of over de gezondheid van familieleden. Dat maakt de informatie zo gevoelig. In de praktijk gaat het hierbij vooral om informatie over erfelijkheid en genetische kenmerken die het resultaat is van een biologisch monster. Bijvoorbeeld informatie uit analyse van het DNA.

Biometrische persoonsgegevens

Biometrische persoonsgegevens geven unieke informatie over iemands fysieke, fysiologische of gedragsgerelateerde kenmerken. Dat maakt de informatie zo gevoelig. In de praktijk gaat het hierbij vooral om biometrische persoonsgegevens die het resultaat zijn van een specifieke technische verwerking, waardoor de gegevens tot een individu herleidbaar zijn. Zoals bij vingerafdrukken.

Strafrechtelijke gegevens zijn geen bijzondere persoonsgegevens

Strafrechtelijke gegevens zijn géén bijzondere persoonsgegevens volgens de AVG. Er gelden wel speciale regels voor het verwerken van strafrechtelijke gegevens.  

BSN is geen bijzonder persoonsgegeven

Ook een nationaal identificatienummer is volgens de AVG geen bijzonder persoonsgegeven. Maar de EU-lidstaten mogen wel zelf voorwaarden stellen aan het verwerken van zo’n nummer. In Nederland is dit het burgerservicenummer (BSN). In de Uitvoeringswet AVG (UAVG) staan regels voor het gebruik van het BSN.

Gevoelige persoonsgegevens

In de AVG staat expliciet benoemd dat bijzondere persoonsgegevens en strafrechtelijke gegevens zó gevoelig zijn dat daarvoor speciale regels nodig zijn. Maar dat zijn niet alle gegevens die gevoelig kunnen zijn.

Er zijn ook gegevens die niet expliciet in de AVG zijn benoemd als gevoelig, maar die wel een grotere impact hebben op iemands privacy dan gewone persoonsgegevens. Dit noemen we gevoelige persoonsgegevens.

Persoonsgegevens die over het algemeen als privacygevoelig worden beschouwd, zijn:

  • gegevens over elektronische communicatie;
  • locatiegegevens;
  • financiële gegevens (zoals inkomen of koopgedrag);
  • het burgerservicenummer (BSN).

Strafrechtelijke gegevens

Strafrechtelijke gegevens zijn gegevens die te maken hebben met:

  • Strafrechtelijke veroordelingen en strafbare feiten. Hieronder vallen zowel veroordelingen als mogelijk gegronde verdenkingen. Dit wil zeggen dat er concrete aanwijzingen zijn dat iemand een strafbaar feit heeft gepleegd.
  • Veiligheidsmaatregelen die daarmee verband houden. Daarmee worden persoonsgegevens bedoeld die te maken hebben met een door de rechter opgelegd verbod vanwege onrechtmatig of hinderlijk gedrag.

In de AVG worden strafrechtelijke gegevens 'persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten' genoemd. En in de UAVG 'persoonsgegevens van strafrechtelijke aard'.

Bescherming van persoonsgegevens

Bescherming van de persoonlijke levenssfeer is een grondrecht. Dit recht is geregeld in:

Daarnaast is in artikel 8 van het Handvest een expliciet recht op bescherming van persoonsgegevens opgenomen.

Deze artikelen geven aan dat er een wet moet zijn voor de bescherming van persoonsgegevens. Zodat ieders recht op privacy is gewaarborgd. Dat zijn in Nederland de AVG en de UAVG.