Wat zijn persoonsgegevens?
In de Algemene verordening gegevensbescherming (AVG) staat als definitie voor persoonsgegevens: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.
Op deze pagina
De definitie van persoonsgegevens staat in artikel 4, lid 1, AVG.
Voorbeelden persoonsgegevens
Er zijn veel soorten persoonsgegevens. Voor de hand liggende persoonsgegevens zijn:
- iemands naam;
- adres;
- telefoonnummer;
- pasfoto.
Maar persoonsgegevens zijn bijvoorbeeld ook:
- informatie over wat iemand op internet doet of koopt;
- of iemand allergieën heeft;
- klant- of personeelsnummers;
- camerabeelden of geluidsopnames waarop iemand te herkennen is.
Sommige persoonsgegevens gaan direct over iemand (directe persoonsgegevens). Daarnaast zijn er gegevens die niet direct over iemand gaan, maar die wel naar die persoon te herleiden zijn (indirecte persoonsgegevens). Het gaat dan om gegevens die in combinatie met andere gegevens iets zeggen over een persoon. Zo kan bijvoorbeeld een IP-adres een persoonsgegeven zijn.
Geen persoonsgegevens
De volgende gegevens zijn volgens de AVG geen persoonsgegevens:
- gegevens over organisaties (rechtspersonen);
- gegevens van overleden personen.
Dat betekent dat de AVG voor deze gegevens niet geldt. Tenzij de informatie ook iets zegt over een (natuurlijk) persoon.
Informatie over een rechtspersoon
Informatie over een rechtspersoon kan ook iets zeggen over een natuurlijk persoon. Bijvoorbeeld als:
- de naam van de rechtspersoon is afgeleid van de naam van een natuurlijk persoon;
- het e-mailadres van een bedrijf alleen wordt gebruikt door een specifieke werknemer;
- informatie over een klein bedrijf ook iets zegt over het gedrag van de eigenaar.
In zo'n geval zijn het wel persoonsgegevens. En geldt daarvoor de AVG.
Informatie over een overleden persoon
Informatie over een overleden persoon kan ook iets zeggen over een levend persoon. Bijvoorbeeld bij een erfelijke ziekte. Dan zijn het persoonsgegevens van de levende persoon. En geldt daarvoor de AVG.
Dit kan bijvoorbeeld spelen bij een stamboom op internet. Staan daarin de ziekten vermeld waaraan mensen zijn overleden? Dan kan die informatie ook van toepassing zijn op de nabestaanden. En mag die informatie alleen op internet worden gepubliceerd als de nabestaanden daarvoor toestemming hebben gegeven. Zie verder: Gegevens verwijderen van een website.
Meer weten over wanneer gegevens over rechtspersonen en overledenen persoonsgegevens zijn? Lees dan hoofdstuk 3.4 van Advies 4/2007 over het begrip persoonsgegeven van de Europese privacytoezichthouders.
Bijzondere persoonsgegevens
De AVG maakt onderscheid tussen ‘gewone’ en ‘bijzondere’ persoonsgegevens (de letterlijke term in de AVG is: ‘bijzondere categorieën van persoonsgegevens’).
Bijzondere persoonsgegevens zijn gegevens die zó privacygevoelig zijn dat het grote(re) impact op iemand kan hebben als deze gegevens worden verwerkt. Daarom krijgen bijzondere persoonsgegevens extra bescherming in de AVG. Dit staat in artikel 9 AVG.
Voor het verwerken van bijzondere persoonsgegevens gelden strenge voorwaarden. Die komen erop neer dat het verboden is om bijzondere persoonsgegevens te verwerken, tenzij er een wettelijke uitzondering is. Hierover leest u meer bij Speciale regels voor bijzondere persoonsgegevens.
De AVG ziet deze persoonsgegevens als bijzondere persoonsgegevens:
- Persoonsgegevens waaruit iemands ras of etnische afkomst blijkt.
- Persoonsgegevens waaruit iemands politieke opvattingen blijken.
- Persoonsgegevens waaruit iemands religieuze of levensbeschouwelijke overtuigingen blijken.
- Persoonsgegevens waaruit het lidmaatschap van een vakbond blijkt.
- Gegevens over iemands gezondheid.
- Gegevens over iemands seksueel gedrag of seksuele gerichtheid.
- Genetische gegevens.
Deze persoonsgegevens geven unieke informatie over iemands fysiologie of gezondheid en/of over de gezondheid van familieleden. Dat maakt de informatie zo gevoelig. In de praktijk gaat het hierbij vooral om informatie over erfelijkheid en genetische kenmerken die het resultaat is van een biologisch monster. Bijvoorbeeld informatie uit analyse van het DNA. - Biometrische gegevens (bedoeld voor de unieke identificatie van een persoon).
Dit zijn persoonsgegevens die het resultaat zijn van een specifieke technische verwerking van iemands kenmerken, waarmee eenduidig vast te stellen is wie iemand is. Bijvoorbeeld met een vingerafdrukscan, gezichtsherkenning, een irisscan of een digitale stemopname. Lees meer: Biometrie.
Strafrechtelijke gegevens zijn geen bijzondere persoonsgegevens
Strafrechtelijke gegevens zijn ook heel gevoelige persoonsgegevens, maar die vallen niet onder het begrip 'bijzondere persoonsgegevens' volgens de AVG. Er gelden wel speciale regels voor het verwerken van strafrechtelijke gegevens.
BSN is geen bijzonder persoonsgegeven
Ook een nationaal identificatienummer is volgens de AVG geen bijzonder persoonsgegeven. Maar de EU-lidstaten mogen wel zelf voorwaarden stellen aan het verwerken van zo’n nummer. In Nederland is dit het burgerservicenummer (BSN). In de Uitvoeringswet AVG (UAVG) staan regels voor het gebruik van het BSN.
Gevoelige persoonsgegevens
In de AVG staat expliciet benoemd dat bijzondere persoonsgegevens en strafrechtelijke gegevens zó gevoelig zijn dat daarvoor speciale regels nodig zijn. Maar dat zijn niet alle gegevens die gevoelig kunnen zijn.
Er zijn ook gegevens die niet expliciet in de AVG zijn benoemd als gevoelig, maar die wel een grotere impact hebben op iemands privacy dan gewone persoonsgegevens. Dit noemen we gevoelige persoonsgegevens.
Persoonsgegevens die over het algemeen als privacygevoelig worden beschouwd, zijn:
- gegevens over elektronische communicatie;
- locatiegegevens;
- financiële gegevens (zoals inkomen of koopgedrag);
- het burgerservicenummer (BSN).
Gevoelige gegevens zijn geen aparte categorie in de AVG. Er is daarom geen volledige lijst van gevoelige persoonsgegevens.
Strafrechtelijke gegevens
Strafrechtelijke gegevens zijn gegevens die te maken hebben met:
- Strafrechtelijke veroordelingen en strafbare feiten. Hieronder vallen zowel veroordelingen als mogelijk gegronde verdenkingen. Dit wil zeggen dat er concrete aanwijzingen zijn dat iemand een strafbaar feit heeft gepleegd.
- Veiligheidsmaatregelen die daarmee verband houden. Daarmee worden persoonsgegevens bedoeld die te maken hebben met een door de rechter opgelegd verbod vanwege onrechtmatig of hinderlijk gedrag.
In de AVG worden strafrechtelijke gegevens 'persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten' genoemd.
Er gelden speciale regels voor het verwerken van strafrechtelijke gegevens. Die staan in artikel 10 AVG. Verder geeft de UAVG een aantal belangrijke algemene voorschriften voor mogelijkheden om strafrechtelijke gegevens te verwerken.
Bescherming van persoonsgegevens
Bescherming van de persoonlijke levenssfeer is een grondrecht, met een wat ruimere werking dan alleen de verwerking van persoonsgegevens. Dit recht is geregeld in:
- artikel 10, eerste lid, van de Grondwet
- artikel 8 van het Europees Verdrag inzake de rechten van de mens en de fundamentele vrijheden (EVRM)
- artikel 7 van het Handvest van de Grondrechten van de Europese Unie
- artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR)
Daarnaast:
- is in artikel 8 van het Handvest een expliciet recht op bescherming van persoonsgegevens opgenomen;
- is er een verdrag van de Raad van Europa specifiek over verwerking van persoonsgegevens;
- eist artikel 10, tweede en derde lid, van de Grondwet dat er in Nederland wetgeving geldt om persoonsgegevens te beschermen.
In Nederland bestaat die wetgeving uit de AVG en de UAVG en de Richtlijn gegevensbescherming bij rechtshandhaving, geïmplementeerd in de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg).