Vergroot contrast

Artikel 1 sub a Wbp

Wettekst

 a. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Toelichting

Algemeen

Het begrip 'persoonsgegevens' wordt in artikel 2, onder a, van de richtlijn omschreven als 'alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon'. Deze omschrijving sluit aan bij die van het begrip 'personal data' in het Dataprotectieverdrag waar wordt gesproken van 'any information relating to an identified or identifiable individual'. (MvT, II, nr. 3, blz. 45) Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon moeten als persoonsgegevens worden beschouwd. (MvT, II, nr. 3, blz. 46)

Het begrip "persoonsgegeven" is met de richtlijn een Europeesrechtelijk begrip geworden dat via de jurisprudentie van het Europese Hof van Justitie te Luxemburg nadere invulling zal krijgen. Ook het begrip "redelijkerwijs identificeerbaar" zal in die context uitwerking moeten krijgen. Een gegeven dat op een bepaald moment nog "redelijkerwijs niet identificeerbaar" is omdat identificatie een disproportionele aanwending van geld en middelen zou vergen, en daarom niet als persoonsgegeven kan worden aangemerkt, kan met voortschrijdende informatietechnologie tot een persoonsgegeven worden omdat de identificatie dan gemakkelijk is geworden. Het omslagpunt zal afhangen van de beoordeling van de mogelijkheden van de techniek in het concrete geval. (II, nr. 9, blz. 1-2) (zie ook: identificeerbaar)

De definitie van een persoonsgegeven omvat niet alleen de informatie omtrent een bepaalde persoon in geschreven tekst, doch tevens in beeld en geluid (MvT, II, nr. 3, blz. 50)

De definitie bevat een aantal elementen die expliciet aandacht vragen. Allereerst moet het gaan om informatie 'betreffende' een natuurlijke persoon ('any information relating to'). Voorts moet deze persoon zijn geïdentificeerd of althans identificeerbaar zijn ('identified or identifiable'). Als er aan één van beide elementen niet is voldaan, dan is er geen sprake van persoonsgegevens en is de wet niet van toepassing. Hoewel het gaat om twee onderscheiden beoordelingsmomenten, staan zij niet los van elkaar. (MvT, II, nr. 3, blz. 46)

Verband tussen gegeven en persoon

Niet elk technisch of toevallig verband tussen een gegeven en een persoon is dus voldoende om dat gegeven een persoonsgegeven te doen zijn.[...] Is deze mogelijkheid weliswaar theoretisch aanwezig maar is ondenkbaar dat dit ook daadwerkelijk gebeurt, dan kan ervan worden uitgegaan dat de gegevens niet als persoonsgegevens worden aangemerkt. Indien het daarentegen mogelijk is de gegevens te gebruiken bij voorbeeld om fraude op te sporen, dan is er sprake van persoonsgegevens. Daarbij is niet relevant of de bedoeling de gegevens voor dat doel te gebruiken, ook aanwezig is. Er is reeds sprake van een persoonsgegeven wanneer het gegeven voor een dergelijk op de persoon gericht doel, kan worden gebruikt. (MvT, II, nr. 3, blz. 47)

Betreffende

Allereerst is voor het begrip 'persoonsgegeven' relevant of de gegevens informatie over een persoon bevatten. In veel gevallen, zoals bij feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen, zal dit uit de aard van de gegevens voortvloeien. In andere gevallen zal mede aandacht moeten worden besteed aan de context waarin het gegeven wordt vastgelegd en gebruikt. Als gegevens mede bepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld, moeten die gegevens als persoonsgegevens worden aangemerkt. Het (maatschappelijk) gebruik dat van gegevens wordt gemaakt is dus medebepalend voor de beantwoording van de vraag of sprake is van een persoonsgegeven. (MvT, II, nr. 3, blz. 46)

Gegevens die een neerslag vormen van een over een bepaalde persoon genomen beslissing, kunnen worden beschouwd als een deze persoon betreffend persoonsgegeven. Ook gegevens die niet direct betrekking hebben op een bepaalde persoon, maar bijvoorbeeld op een produkt of een proces, kunnen soms over een bepaalde persoon informatie verschaffen, bij voorbeeld wanneer daarmee de arbeidsproduktiviteit van een werknemer gemakkelijk in kaart kan worden gebracht.

Objectgegevens

Gegevens die naar hun aard niet op personen betrekking hebben noch - gezien de context waarin ze worden verwerkt - mede bepalend zijn voor de wijze waarop een persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld, zijn geen persoonsgegevens. Gegevens die uitsluitend voorwerpen aanduiden, bijvoorbeeld gestolen goederen of identiteitsbewijzen, zijn geen persoonsgegevens indien deze geen informatie bevatten met behulp waarvan personen in hun maatschappelijke positie kunnen worden geraakt. Het gaat dan om zuivere objectgegevens. (MvT, II, nr. 3, blz. 47)

Overledenen/rechtspersonen

Gegevens van overleden personen vallen niet onder de definitie van persoonsgegevens zoals in artikel 1, onder a, gehanteerd. Indien maatschappelijk onzorgvuldig is omgegaan met gegevens van een overleden persoon, is er sprake van een onrechtmatige daad in de zin van artikel 6:162 BW en kunnen diens nabestaanden - indien is voldaan aan de voorwaarden in laatstgenoemde bepaling - schadevergoeding vorderen. (MvT, II, nr. 3, blz. 50)

Gegevens die betrekking hebben op overledenen of rechtspersonen, zijn geen persoonsgegevens als bedoeld in het onderhavige artikel. Hebben deze gegevens echter eveneens betrekking hebben op nog levende, natuurlijke personen en kunnen zij mede bepalend zijn voor de wijze waarop deze in het maatschappelijk verkeer worden beoordeeld of behandeld, dan zijn zij wel weer een persoonsgegeven. (MvT, II, nr. 3, blz. 47)

Telefoonnummers, kentekens en postcodes; context

Tevens dienen telefoonnummers, kentekens van auto's en postcodes met huisnummers onder omstandigheden als een persoonsgegeven te worden aangemerkt. Het gegeven dat een bepaalde persoon aangifte heeft gedaan van diefstal van een voertuig, wanneer hij daarmee als slachtoffer van een strafbaar feit wordt aangemerkt, zal ook als een op die persoon betrekking hebbend persoonsgegeven moeten worden aangemerkt. (MvT, II, nr. 3, blz. 46/47)

Telefoonnummers zijn niet altijd persoonsgegevens in de zin van de wet, bijvoorbeeld niet wanneer deze zijn toegekend aan een rechtspersoon of een bestuursorgaan en het nummer niet herleidbaar is tot een individuele natuurlijke persoon, bijvoorbeeld omdat deze een vaste gebruiker is. Hoofdstuk 11 van de Telecommunicatiewet is echter met uitzondering van de bepalingen over telefoongidsen en direct marketing, ook van toepassing op rechtspersonen. Kentekens van motorvoertuigen zijn persoonsgegevens voor degenen die toegang hebben tot het kentekenregister van de Rijksdienst voor het Wegverkeer. Zij kunnen immers tenaamstelling van het kenteken zonder bijzondere inspanning te weten komen. Voor personen die geen toegang hebben tot de tenaamstellingsgegevens uit het kentekenregister, zijn kentekens geen persoonsgegevens indien redelijkerwijs ook niet te verwachten valt dat die gegevens langs een omweg (eventueel door derden) zullen worden herleid. Het hangt dus van de context van het gebruik af of het wel of niet gaat om persoonsgegevens. De registratie van kentekens in het kader van rekening rijden teneinde de houder van het kenteken een rekening te sturen voor het gebruik van een weg, is dus een omstandigheid waarbij het kenteken de functie van een persoonsgegeven heeft. Wat betreft postcodes wijzen wij op een advies van de Registratiekamer waarbij het gebruik van postcodes, zonder nadere aanduiding van een pand duidend op een individueel huishouden, niet als een verwerking van persoonsgegevens wordt aangemerkt. (II, nr. 6, blz. 27)

Context

Met betrekking tot deze bepaling (bedoeld is: artikel 1a Wbp) is verder om een nadere toelichtinggevraagd op het context-criterium. Gedoeld wordt op de stelling in de memorie van toelichting dat gegevens - gezien de context waarin ze worden verwerkt - persoonsgegevens kunnen zijn indien de gegevens mede bepalend zijn voor de wijze waarop een persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld. Een voorbeeld hiervan betreft het telefoonnummer. Zolang dit gegeven niet is toegekend aan een bepaalde persoon, is het geen persoonsgegeven omdat het niets zegt over een bepaalde persoon of de wijze waarop deze kan worden bereikt. Indien echter binnen een bedrijf een telefoonnummer wordt gebruikt door een vaste persoon en vervolgens het telefoonnummer wordt gebruikt om het belgedrag van betrokkene in kaart te brengen, is het telefoonnummer wel een persoonsgegeven. Aannemelijk is immers dat een zodanig gebruik van het gegeven consequenties heeft of kan hebben voor de persoon met wie het telefoonnummer in verband is gebracht. Een hiermee tot op zekere hoogte vergelijkbare situatie kan zich voordoen bij het gebruik van kentekens van auto's. (II, nr. 9, blz. 2)

Wanneer bij een bepaalde persoon een postcode wordt toegevoegd, is dat een gegeven betreffende iemand en daarmee een persoonsgegeven in de zin van de wet. In het algemeen kan worden gesteld dat indien op grond van postcodesegmentatie of anderszins, bijvoorbeeld op grond van statistisch onderzoek, uit een bepaald gegeven dat aan iemands naam is toegevoegd, bepaalde gevolgtrekkingen worden gemaakt, het gaat om een persoonsgegeven. Het gegeven leidt er immers toe dat iemand in het maatschappelijk verkeer de kans loopt anders te worden bejegend dan wanneer dit gegeven niet over hem bekend was. Zie ook artikel 42, vierde lid. (MvA, I, 92c, blz. 13).

Telecomgegevens

De leden van de CDA-fractie stellen vragen over het verschil tussen verkeers- en dienstgegevens en de gevolgen die daaraan worden verbonden. Zij vragen zich af of het begrip verkeersgegevens niet te beperkt wordt opgevat, namelijk de gegevens die nodig zijn om de rekening te kunnen presenteren. In het voorstel voor een Telecommunicatiewet (inwerkingtreding gefaseerd tussen 15 december 1998 en 29 oktober 1999) is een regeling voor dienst-, verkeers- en rekening-gegevens opgenomen. Dienstgegevens ("service data") zijn samengesteld uit naam, adres, postcode, woonplaats, woonland en aansluitnummer(s)van een abonnee of van degene die anders dan de abonnee aansprakelijk is voor betaling van de rekening. Verkeersgegevens ("traffic data") zijn samengesteld uit: de aansluitnummers waartussen telecommunicatie heeft plaatsgevonden, begin- en eindtijdstip van de telecommunicatie, de data waarop de telecommunicatie plaatsvond, de verzonden hoeveelheid gegevens en de gebruikte toesteltypen. Anders dan "service-data" geven zij informatie over telecommunicatie die heeft plaatsgevonden (wie heeft met wie van waar naar waar hoelang gebeld), terwijl servicedata de klantgegevens van de telecomoperator zijn, zoals ieder die zich met een commercieel product op de markt begeeft, een klantenbestand bijhoudt. Blijkens artikel 6, tweede lid, van de sectorale richtlijn 97/66/EG voor de telecommunicatie van 15 december 1997 (PbEG van 30 januari 1998) mogen verkeersgegevens slechts worden opgeslagen voor het opstellen van een rekening voor de abonnee. Blijkens artikel 14 van die richtlijn kan daarvan slechts bij wet worden afgeweken voor bepaalde met name genoemde doeleinden, bijvoorbeeld de opsporing van strafbare feiten. Verkeersgegevens zijn niet uitsluitend bedoeld om in combinatie met tariefinformatie en dienstgegevens een rekening op te maken. Zolang zij rechtmatig zijn opgeslagen kunnen verkeersgegevens - al dan niet in combinatie met dienstgegevens - blijkens sectorale wetgeving ook worden gebruikt voor de beslechting van geschillen over een rekening en voor verkeersbeheer. Inlichtingen kunnen slechts worden verstrekt op grond van een wettelijk voorschrift of indien dit noodzakelijk is voor de opsporing van telefoonfraude. Voor marketingdoeleinden kunnen verkeersgegevens slechts worden gebruikt na verkregen toestemming van de abonnee. Wij verwijzen naar artikel 11.5 van de Telecommunicatiewet.(II, nr. 6, blz. 29)

Gegevens kadaster

Naar aanleiding van artikel 1, onder a, werd gevraagd of gegevens van het kadaster ook als persoonsgegevens moeten worden aangemerkt. Het kadaster bevat gegevens over onroerende zaken, panden, percelen, maar ook over eigendommen en de waarde van objecten, alsmede de mate waarin deze zijn bezwaard met een hypotheek. In het maatschappelijk verkeer worden deze gegevens gebruikt voor transacties met betrekking tot onroerend goed en beslissingen over financiering en belastingheffing. Dat deze gegevens ten dele kunnen worden aangemerkt als object-gegevens is niet beslissend. Als de betrokken eigenaar een natuurlijk persoon is, vertellen deze gegevens tevens iets over deze persoon en zijn daarom persoonsgegevens in de zin van de Wbp. In het kadaster kan immers ieder nagaan wie eigenaar is van een bepaald pand. In dit opzicht sluit de Wbp aan bij de WPR, zij het met dit verschil dat de WPR niet van toepassing is op openbare registers, zoals het kadaster, en de Wbp wel. (II, nr. 9, blz. 1/2)

Identificeerbaar

De identificeerbaarheid van de persoon is het tweede element dat bepalend is voor de vraag of sprake is van een persoonsgegeven. Uitgangspunt is dat een persoon identificeerbaar is indien zijn identiteit redelijkerwijs, zonder onevenredige inspanning, vastgesteld kan worden. Twee factoren spelen hierbij een rol: de aard van de gegevens en de mogelijkheden van de verantwoordelijke om de identificatie tot stand te brengen. (MvT, II, nr. 3, blz. 47)

Een persoon is identificeerbaar indien sprake is van gegevens die alleen of in combinatie met andere gegevens, zo kenmerkend zijn voor een bepaalde persoon dat deze aan de hand daarvan kan worden geïdentificeerd. Artikel 2, onder a, van de richtlijn bepaalt dat als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit. In dit kader kan worden onderscheiden tussen direct en indirect identificerende gegevens. (MvT, II, nr. 3, blz. 48)

In artikel 1, onder a, van het wetsvoorstel is overeenkomstig de richtlijn bepaald dat onder een persoonsgegeven moet worden verstaan: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Om te bepalen of een persoon op wie een gegeven betrekking heeft "geïdentificeerd of identificeerbaar" is in de zin van de wet kunnen
drie categorieën van gevallen worden onderscheiden.

1. Het eerste geval is een verwerking van persoonsgegevens op naam: de Heer X heeft een krediet tot een bedrag Y van bank Z. In die situatie is vanzelfsprekend sprake van een persoonsgegeven.
2. De tweede categorie gevallen is die waarbij gegevens niet direct op naam zijn terug te vinden, doch de betrokken persoon met aanwending van beschikbare middelen alsnog kan worden achterhaald, bijvoorbeeld aan de hand van een nummer. Te denken valt aan een situatie waarbij een lijst van nummers met bijbehorende namen beschikbaar is, hetzij via openbare bron, (bijvoorbeeld het telefoonboek), hetzij via een bron die slechts raadpleegbaar is voor een bepaalde categorie van personen (bijvoorbeeld het kentekenregister door de politie of het nummer van een rekening door bankemployés). De met die nummers verbonden gegevens zijn - hoewel niet op naam - persoonsgegevens wegens de beschikbare mogelijkheid om met behulp van de nummers de identiteit van de betrokken personen te achterhalen. Daarnaast valt te denken aan situaties waarin een bijzondere eigenschap of combinatie van gegevens hetzij direct, hetzij door koppeling of vergelijking met andere beschikbare informatie identificatie van een persoon mogelijk maakt. Een combinatie van beroep, woonplaats en leeftijd is doorgaans sterk identificerend, ook als de identiteit van betrokkene niet meteen vermeld wordt.
3. De derde categorie van gevallen ten slotte is die waarbij de identiteit van de betrokken personen niet of slechts met een disproportionele aanwending van geld, mankracht of middelen kan worden achterhaald. Deze laatste gegevens worden niet als persoonsgegevens aangemerkt. Dit doet zich bijvoorbeeld voor indien identificatie van personen door de computer vele dagen in beslag zou nemen. In die situatie dient er redelijkerwijs van te worden uitgegaan dat identificatie niet zal plaatsvinden en de wet derhalve niet van toepassing is. Het begrip "redelijkerwijs" is in dit verband ontleend aan overweging 26 van de richtlijn. Het wetsvoorstel sluit op dit punt volledig bij de richtlijn aan. (II, nr. 13, blz. 2)

Direct identificeerbaar

Van direct identificerende gegevens is sprake wanneer gegevens betrekking hebben op een persoon waarvan de identiteit zonder veel omwegen eenduidig vast te stellen is. Direct identificerende gegevens zijn gegevens als naam, adres, geboortedatum, die in combinatie met elkaar dermate uniek en dus kenmerkend zijn voor een bepaalde persoon dat deze in brede kring met zekerheid of met een grote mate van waarschijnlijkheid, kan worden geïdentificeerd. Dergelijke gegevens worden in het maatschappelijk verkeer ook gebruikt om personen van elkaar te onderscheiden. (MvT, II, nr. 3, blz. 48)

Indirect identificerende gegevens

Anders ligt dit wanneer de gegevens niet direct tot identificatie van een bepaald persoon leiden maar via nadere stappen de gegevens in verband kunnen worden gebracht met een bepaalde persoon. Dit soort gegevens heten indirect identificerende gegevens. Zij kunnen zijn ontdaan van de naam, doch onder omstandigheden door combinatie met andere gegevens weer worden teruggebracht tot een bepaalde persoon.
Daarnaast zijn er gegevens die zodanig uniek zijn dat zij ook identificerend zijn, zoals het sociaal-fiscaal nummer of unieke biometrische gegevens zoals stem, vingerafdruk of DNA-profiel. Zo zijn biometrische kenmerken omtrent een persoon, wanneer deze zijn vastgelegd op een gegevensdrager en daaraan impliciet of expliciet aanvullende informatie is verbonden, persoonsgegevens. Deze aanvullende informatie kan immers met hem in verband kunnen worden gebracht, zodra de biometrische kenmerken worden vergeleken met de kenmerken van de persoon waarvan zij afkomstig zijn. (MvT, II, nr. 3, blz. 48)

Hoog/laag onderscheidend (bij sociaal-wetenschappelijk onderzoek)

Bij sociaal-wetenschappelijk onderzoek zal onderscheid moeten worden gemaakt tussen enerzijds gegevens met een hoog onderscheidend karakter, zoals leeftijd, woonplaats en beroep, en anderzijds gegevens met een laag onderscheidend karakter, zoals leeftijdsklasse, woonregio en beroepsklasse. Het onderscheidend vermogen van dergelijke (combinaties van) gegevens is mede afhankelijk van de context, bij voorbeeld afhankelijk van de omvang van de bevolkingsgroep waarop de gegevensverwerking betrekking heeft. Het verwijderen van de direct identificerende kenmerken biedt op zichzelf niet altijd voldoende garantie dat geen sprake meer is van persoonsgegevens. Door middel van spontane herkenning, vergelijking van gegevens en/of koppeling aan gegevens uit andere bron, kan immers desondanks, soms zonder bijzondere inspanning, identificatie tot stand worden gebracht. Is echter het risico van spontane herkenning redelijkerwijs uitgesloten, dan kan worden aangenomen dat er geen sprake is van persoonsgegevens. Het is niet nodig dat de mogelijkheid van spontane herkenning absoluut wordt uitgesloten. (MvT, II, nr. 3, blz. 48)

Mogelijkheden van de verantwoordelijke

De verantwoordelijke beschikt over mogelijkheden tot identificatie en de bekendheid of beschikbaarheid van aanvullende informatie. Een absolute maatstaf is niet aan de orde: gekeken moet worden naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door de verantwoordelijke dan wel enig ander persoon zijn in te zetten om die persoon te identificeren. Uitgegaan moet worden van een redelijk toegeruste verantwoordelijke. In concrete gevallen moet echter wel rekening worden gehouden met bijzondere expertise, technische faciliteiten en dergelijke van de verantwoordelijke. Het gaat dus enerzijds om objectivering naar een redelijk toegeruste verantwoordelijke en anderzijds om subjectivering naar bijzondere expertise (Registratiekamer 27 maart 1995, 95.V.029) (MvT, II, nr. 3, blz. 48/49). Wat blijkens het voorgaande voor de verantwoordelijke geldt, geldt bij het verstrekken van gegevens aan een derde uiteraard ook voor de ontvanger. Dat betekent dat de verantwoordelijke zich in een dergelijk geval zal moeten afvragen of de bewuste gegevens in handen van de ontvanger al dan niet als identificeerbaar zullen moeten worden aangemerkt. Bepalend is wat in de gegeven situatie redelijkerwijs mag worden verwacht. Naarmate een verstrekker over meer mogelijkheden beschikt om de risico's van identificatie door de ontvanger te voorzien of te beperken, mag van hem in dit opzicht meer zorgvuldigheid worden verwacht. Bij het voortschrijden van informatietechnologie moet rekening worden gehouden met het feit dat waar voorheen wellicht nog sprake is was van een onevenredige inspanning (en dus niet van een persoonsgegeven), deze inspanning geringer wordt met het beschikbaar komen van nieuwe technieken. Wat dus bij een bepaalde stand van de techniek als anoniem, want redelijkerwijs niet op een persoon herleidbaar gegeven, kan worden beschouwd, kan door technische ontwikkelingen alsnog een persoonsgegeven worden gelet op de toegenomen mogelijkheden tot herleiding. (MvT, II, nr. 3, blz. 49)

Niet identificeerbaar

Een gegeven is geen persoonsgegeven indien doeltreffende maatregelen zijn getroffen waardoor een daadwerkelijke identificatie van individuele natuurlijke personen redelijkerwijs wordt uitgesloten. Deze maatregelen kunnen bijvoorbeeld zijn gegevenscodering in combinatie met nadere bewerkingen of bijzondere besluitvormingsprocedures. (MvT, II, nr. 3, blz. 49)
Een verantwoordelijke kan bij voorbeeld gegevens ontdoen van de direct identificerende gegevens en deze onderbrengen bij een derde dan wel een derde de sleutel geven die toegang geeft tot deze gegevens. De vraag of in een dergelijk geval al dan niet gesproken kan worden van persoonsgegevens is afhankelijk van de mate waarin medewerking van de betrokken derde verwacht mag worden. Indien bijvoorbeeld degene die de code heeft opgesteld is onderworpen aan een geheimhoudingsplicht die naar uit de praktijk is gebleken daadwerkelijk wordt gehandhaafd, kan in de regel ervan worden uitgegaan dat er onvoldoende feitelijke mogelijkheden zijn tot daadwerkelijke identificatie. Is de code echter zonder veel moeite of met eenvoudige omzeiling van waarborgen te verkrijgen door de verantwoordelijke, dan is er sprake van identificeerbaarheid en dus van persoonsgegevens in de zin van de wet. De feitelijke situatie, niet de juridische constructie, is bepalend voor de toepasselijkheid van het wetsvoorstel. (MvT, II, nr. 3, blz. 49).

Onder omstandigheden zullen de gegevens tevens nader moeten worden bewerkt om identificatie tegen te gaan. Aggregatie kan bijvoorbeeld het onderscheidend vermogen van gegevens doen verminderen. Zolang identificatie van gegevens met behulp van andere bestanden een reële mogelijkheid is, is de wet van toepassing en moeten de daarin opgenomen spelregels worden nageleefd. Waarborgen om daadwerkelijke identificatie via codering en bewerking van gegevens tegen te gaan, kunnen zijn opgenomen in een gedragscode of als voorwaarde gelden in de contractuele sfeer. In een gedragscode of een contract kunnen indicaties zijn gegeven omtrent de middelen waarmee de gegevens anoniem kunnen worden gemaakt en kunnen worden bewaard in een vorm die identificatie van de betrokkene feitelijk niet langer mogelijk maakt. Hiervan is bij voorbeeld sprake indien de codes worden beheerd door een ander op wie een geheimhoudingsplicht rust. Wanneer dergelijke regels met zorg zijn vastgesteld en ook daadwerkelijk handhaafbaar zijn, kan worden aangenomen dat de wet niet van toepassing is, zelfs al zou niet geheel zijn uitgesloten dat op enigerlei wijze toch herkenning van individuele personen plaatsvindt. (MvT, II, nr. 3, blz. 49/50)

Groepsprofielen

Het gebruik van groepsprofielen valt niet rechtstreeks onder de wet. Denk bijvoorbeeld aan de constatering dat alle jongeren onder de 21 jaar een grotere kans op ongelukken maken. Een ander voorbeeld is de verbinding van bepaalde postcodegroepen met bepaalde kenmerken. Voor het opstellen van groepsprofielen zijn vaak wel persoonsgegevens nodig. Wanneer het groepsprofiel evenwel wordt toegepast op een individuele persoon gaat het wel weer om een persoonsgegeven. De betrokkenen wordt daardoor immers op een andere manier in de samenleving bejegend. Zie ook toelichting op artikel 42. (I, 34, blz. 34-1628).

Jurisprudentie

KvK-nummer en naam eigenaar eenmanszaak is persoonsgegeven

In tussenvonnis (niet gepubliceerd) bij deze uitspraak is bepaald dat de registratie van de naam van de eigenaar van een eenmanszaak en het KvK-nummer een verwerking van persoonsgegevens is.
Rechtbank Amsterdam 12 september 2014, ECLI:NL:RBAMS:2014:5938

Onderzoek Jaarboek en toestemming daarvoor

Het jaarboek, waarin zowel individuele activiteiten als persoonlijke ideeën en gedachten zijn genoteerd, zijn persoonsgegevens. Voor het aannemen van een stilzwijgende toestemming is nodig dat bij het afgeven van de laptop zonder meer duidelijk moest zijn dat de naspeuringen ook een onderzoek naar  persoonlijke documenten zouden omvatten.
Gerechtshof  Arnhem-Leeuwarden 4 februari 2014, ECLI:NL:GHARL:2014:753

Persoonsgegevens in door derden opgestelde brief

De in casu gevraagde informatie betreft persoonsgegevens. Het enkele feit dat  de brief is opgesteld door een derden, doet niet af aan het feit dat deze brief  is opgenomen in een registratie waarin persoonsgegevens van A worden verwerkt en dat de derde verklaart over A. 
Raad van State 16 oktober 2013, ECLI:NL:RVS:2013:1543

Afbeelding object Google Maps geen persoonsgegeven

De uitkomst van een zoekvraag in Google Maps is geen persoonsgegeven, indien na het intypen van (enkel) een adres uitsluitend de locatie van het betreffende adres en wazig gemaakte fotografische afbeeldingen rondom dat adres worden weergegeven, omdat in dat geval uitsluitend gegevens over een object worden geopenbaard.
Gerechtshof Amsterdam 24 september 2013, ECLI:NL:GHAMS:2013:5224

Druppel bloed is een persoonsgegeven als bedoeld in de Wet bescherming persoonsgegevens

De omstandigheid dat de druppel bloed is afgenomen in het kader van het onderzoek naar de doodsoorzaak, zoals bedoeld in de Wet op de lijkbezorging (Wol), houdt niet in dat op het verzoek van eiseres om afgifte van het lichaamsmateriaal die wet ook van toepassing is.
De Wet bescherming persoonsgegevens (Wbp) vormt het toetsingskader van eiseres verzoek.
Rechtbank Rotterdam 25 juli 2013, ECLI:NL:RBROT:2013:5406

Conclusie rapport geen persoonsgegevens waarvan men verwijdering kan verzoeken

De in het geschil zijnde conclusie van het  AMK-rapport valt niet onder de “persoonsgegevens” waarvan men op grond artikel 36, lid 1 Wbp verwijdering kan  verzoeken. Het betreft hier immers niet de persoonsgegevens zelf maar een oordeel van het AMK over de uit het onderzoek naar voren gekomen gegevens.
Gerechtshof Den Haag 10 juli 2013, ECLI:NL:GHDHA:2013:2939

Namen niet gehoorde getuigen geen strafrechtelijke persoonsgegevens

Namen van als getuige aangemerkte, maar niet gehoorde personen zijn geen strafrechtelijke persoonsgegevens.
Rechtbank Amsterdam 16 mei 2013, ECLI:NL:RBAMS:2013:2820

Identificeerbaar en herleidbaar

In rapport (expert opinion) worden leeftijd en gerapporteerde bijwerkingen terecht niet openbaar gemaakt, omdat anders identificatie mogelijk zou zijn. De gegevens zouden bijvoorbeeld door een kleine beperkte kring van bekenden van de betrokken patiënt eenvoudig tot de patiënt zijn te herleiden.
ABRvS 7 november 2012, LJN: BY2508

Gegevens simkaart zijn persoonsgegevens

Gegevens van de simkaart van de mobiele telefoon van betrokkene zijn uitgelezen en neergelegd in een rapport. Het rapport dat betrokkene uit het dossier bij de IND verwijderd wil zien bevat zijn naam, geboortedatum en bel- en contactgegevens. Dit zijn persoonsgegevens in de zin van artikel 1, aanhef en onder a, van de Wbp.
ABRvS 11 april 2011, LJN: BW1580

Gehoord worden als verdachte is persoonsgegeven van strafrechtelijke aard

WOB-verzoek. Naar het oordeel van de ABRvS is de omstandigheid dat een persoon als verdachte is gehoord door de politie, een persoonsgegeven van strafrechtelijke aard. Voor zover het relaas van het verhoor gegevens bevat die herleidbaar zijn tot de gehoorde, moet dat relaas worden begrepen onder het begrip persoonsgegeven.
ABRvS 31 januari 2007, LJN: AZ7410

Koppeling van diverse niet-identificerende gegevens

De Informatiebeheer Groep kan op basis van de Wet educatie en beroepsonderwijs niet-identificerende gegevens verstrekken aan de Minister van Onderwijs, Cultuur en Wetenschap en de Onderwijsinspectie. Getoetst moet worden of koppeling van diverse niet-identificerende gegevens kan leiden tot identificeerbare persoonsgegevens.
CBP 30 juni 2005, z2005-0528

GSM-nummer is persoonsgegeven

Het BedrijfsProcessenSysteem (BPS-systeem) is een politieregister in de zin van de Wet politieregisters en bevat persoonsgegevens die zijn aangelegd ter uitvoering van de politietaak. Een GSM-nummer is een persoonsgegeven dat in dat systeem mag worden opgenomen.
Rechtbank Dordrecht 31 augustus 2004, LJN: AR5275

Gegevens over dieren van het bedrijf zijn geen persoonsgegevens

Ingevolge het bepaalde van artikel 1 sub a Wbp wordt persoonsgegeven gedefinieerd als elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. De bedoelde gegevens kunnen niet worden aangemerkt als persoonsgegevens, nu deze data betrekking hebben op de dieren van het bedrijf, en derhalve bedrijfsgegevens zijn.
Voorzieningenrechtbank Zwolle 22 maart 2004, LJN: AO6018

Bijzondere gegevens: lichaamsmateriaal

Lichaamsmateriaal kan worden aangemerkt als een gegeven betreffende iemands gezondheid.
Het verwerken van bijzondere persoonsgegevens is in beginsel verboden. In dit geval is in beginsel sprake van een ontheffing: verwerkingen geschieden door instellingen voor gezondheidszorg en het is noodzakelijk met het oog op een goede behandeling en verzorging van de betrokkene.
CBP 1 april 2003, z2003-00206

E-mailadres is (vaak) een persoonsgegeven

E-mailadresgegevens zijn niet altijd persoonsgegevens, maar wel vaak. Een e-mailadres is niet een persoonsgegeven van gevoelige aard. Het is een minder publiek gegeven dan een gewoon adres.
Gerechtshof Amsterdam 18 juli 2002, LJN: AE5514 

Bij beroepsmatig handelen is persoonlijke levenssfeer niet in het geding

WOB-verzoek. Volgens vaste jurisprudentie is, indien sprake is van beroepsmatig handelen, de persoonlijke levenssfeer van de betrokken personen niet in het geding. Dit geldt ook indien sprake is van een rijschool die door één persoon wordt geëxploiteerd.
ABRvS 17 juli 2002, LJN: AE5445

Correctie van persoonsgegevens van een overledene

In het licht van de Wpr (en de Wbp) is een persoonsgegeven een gegeven dat betrekking heeft op een nog in leven zijnde persoon. Door het overlijden van betrokkene is inwilliging van het verzoek om correctie van zijn persoonsgegevens op grond van de Wpr niet meer mogelijk.
Rechtbank Zutphen 22 maart 2001, 31301 / HA RK 00-85, z2000-01218