Privacyrecht begrepen – samenvatting
Hoofdstuk 2 – Basisbegrippen
persoonsgegevensbescherming
Dit hoofdstuk bestaat voornamelijk uit definities. Goed om te
weten, maar er zullen geen definitievragen gesteld worden op de
toets.
2.1 - Persoonsgegevens
Het begrip persoonsgegevens omvat (1) alle informatie (2) over (3) een
geïdentificeerde of identificeerbare (4) natuurlijke persoon. Dit
identificeren kan direct of indirect, hierbij moet rekening gehouden worden
met alle middelen die redelijkerwijs gebruikt kunnen worden om iemand te
identificeren (bv naam, locatiegegevens etc).
(1)
Het gaat om alle informatie, zowel objectief als subjectief. Het maakt niet
uit of de gegevens juist of bewezen zijn, ook de context en vorm maken
niet uit.
(2)
De persoonsgegevens moeten over een invidu gaan. Omdat dit niet altijd
duidelijk is, hebben de Europese privacy-toezichthouders aangegeven dat
er sprake moet zijn van een van de drie volgende elementen:
- Inhoud (heeft de informatie direct betrekking op iemand, bv
resultaten medisch onderzoek?)
- Doel (wordt de informatie waarschijnlijk gebruikt om iemand te
beïnvloeden, beoordelen of op een bepaalde manier te behandelen,
bv IP-adres voor ads?)
- Resultaat (zal het gebruik van de gegevens gevolgen hebben voor
iemands belangen of rechten, bv bepalen hoogte verzekering?)
(3)
Voor identificeerbaarheid is niet vereist dat gegevens herleidbaar zijn tot
iemands naam. Iemand hoeft alleen individualiseerbaar en te
onderscheiden van anderen zijn, bv via een nummer. Er moet rekening
gehouden worden met de middelen die gebruikt kunnen worden om dit te
doen, en de kosten daarvan (zowel in geld als tijd).
(4)
De AVG definieert niet wat een natuurlijk persoon is, dit doen lidstaten zelf.
Gegevens over ondernemingen vallen bv niet onder de definitie, tenzij het
een eenmanszaak is. Gegevens over mensen die verbonden staan aan de
onderneming natuurlijk wel, zoals contactgegevens van werknemers.
,Persoonsgegevens gaan over levende natuurlijke personen. Gegevens
over overledenen zijn ten aanzien van de overledenen dus geen
persoonsgegevens, maar kunnen dat wel zijn over de nabestaanden van
de overledenen (bv iemand is overleden aan erfelijke ziekte).
2.2 – Pseudonieme persoonsgegevens
Persoonsgegevens kunnen gepseudonimiseerd worden. Ze zijn dan niet
meer herleidbaar tot een specifiek persoon zonder aanvullende gegevens.
Die aanvullende gegevens moeten apart bewaard worden en er moeten
technische en organisatorische maatregelen worden genomen om ervoor
te zorgen dat de persoonsgegevens niet zomaar aan die specifieke
persoon kunnen worden gekoppeld.
Het toepassen van pseudonimisering kan bv een beveiligingsmaatregel
vormen om te voldoen aan art. 32 AVG. Omdat de gegevens nog wel
herleidbaar zijn, is het geen anonimisering.
2.3 – Anonieme gegevens
Anonieme gegevens zijn niet direct of indirect herleidbaar tot een levend
persoon. Privacyregels zijn hier ook niet op van toepassing. Toch moet er
wel rekening gehouden worden met restrisico’s (bv nieuwe technologie).
Op het anonimiseren zelf zijn de regels nog wel van toepassing, aangezien
dat een verwerkingshandeling is.
Er zit een verschil in anonieme en geanonimiseerde gegevens. Anonieme
gegevens zijn nooit persoonsgegevens geweest (bv jaarrekening van NV).
Geanonimiseerde gegevens waren wel persoonsgegevens, maar zijn
bewerkt zodat ze dat nu niet meer zijn (bv oud klantnummer zonder
verdere gegevens).
Er is niet snel sprake van geanonimiseerde persoonsgegevens, hier is pas
van sprake als de volgende drie risico’s uitgesloten zijn:
1. Herleidbaarheid (kan je de persoon individualiseren?)
2. Koppelbaarheid (kan je de gegevens in verband brengen met
iemand?)
3. Deduceerbaarheid (kan je persoonsgebonden info afleiden uit de
gegevens?)
2.4 – Bijzondere persoonsgegevens
Het verwerken van bepaalde persoonsgegevens kan een grotere impact op
iemands privacy hebben, omdat ze gevoelig zijn voor iemands
grondrechten en fundamentele vrijheden. Dit zijn onder andere ‘bijzondere
persoonsgegevens’.
Hieronder vallen gegevens over:
- iemands ras of etnische afkomst
- gegevens over politieke opvattingen
- religieuze of levensbeschouwelijke overtuigingen
- gezondheid gegevens (zowel genetisch als biometrisch)
, - Lidmaatschap van een vakbond
- Seksueel gedrag of seksuele gerichtheid
Voor biometrische gegevens is in de wet zelf aangegeven dat het
relevant is voor welk doel de gegevens worden verwerkt. Het gaat om
biometrische gegevens die verwerkt worden met oog op de unieke
identificatie van iemand. Niet alle camerabeelden zijn dus biometrische
gegevens, alleen als de eenduidige identificatie van iemand mogelijk is
of wordt bevestigd.
Bijzondere persoonsgegevens hebben dezelfde bouwstenen als normale
persoonsgegevens.
2.5 – Gevoelige persoonsgegevens
Onder gevoelige gegevens vallen de zojuist besproken bijzondere
persoonsgegevens, en een aantal andere soorten.
Ten eerste zijn strafrechtelijke gegevens ‘gevoelig’. EU-lidstaten kunnen
tot een bepaalde hoogte hierover zelf regels opstellen. Wij hebben dit
gedaan, strafrechtelijke gegevens zijn bij ons:
1. Persoonsgegevens over strafrechtelijke veroordelingen en strafbare
feiten (en mogelijk gegronde verdenkingen/concrete aanwijzingen)
2. Informatie over daarmee verband houdende veiligheidsmaatregelen
3. Door de rechter opgelegd verbod naar aanleiding van onrechtmatig
of hinderlijk gedrag
Ten tweede zijn nationale identificatienummers een categorie gevoelige
gegevens. De AVG regelt dit niet, maar onze UAVG wel. Een nationaal
identificatienummer is een nummer dat ter identificatie van een persoon
bij de wet is voorgeschreven, zoals BSN.
Naast deze in de wet genoemde gevoelige gegevens, is er ook een
restcategorie.
1. Gegevens die verband houden met huishoudelijke en
privéactiviteiten (zoals digitale communicatie waarvan
vertrouwelijkheid moet worden beschermd)
2. Gegevens die de uitoefening van een grondrecht beïnvloeden, zoals
locatie
3. Gegevens die duidelijke gevolgen hebben voor het dagelijks leven
van de betrokkene, zoals financiële gegevens
Andere zeer persoonlijke gegevens zijn (niet wettelijk bepaald):
- Persoonlijke documenten
- E-mails
- Dagboeken
- Notities
- Informatie in ‘life-logging’ apps.
Hoofdstuk 2 – Basisbegrippen
persoonsgegevensbescherming
Dit hoofdstuk bestaat voornamelijk uit definities. Goed om te
weten, maar er zullen geen definitievragen gesteld worden op de
toets.
2.1 - Persoonsgegevens
Het begrip persoonsgegevens omvat (1) alle informatie (2) over (3) een
geïdentificeerde of identificeerbare (4) natuurlijke persoon. Dit
identificeren kan direct of indirect, hierbij moet rekening gehouden worden
met alle middelen die redelijkerwijs gebruikt kunnen worden om iemand te
identificeren (bv naam, locatiegegevens etc).
(1)
Het gaat om alle informatie, zowel objectief als subjectief. Het maakt niet
uit of de gegevens juist of bewezen zijn, ook de context en vorm maken
niet uit.
(2)
De persoonsgegevens moeten over een invidu gaan. Omdat dit niet altijd
duidelijk is, hebben de Europese privacy-toezichthouders aangegeven dat
er sprake moet zijn van een van de drie volgende elementen:
- Inhoud (heeft de informatie direct betrekking op iemand, bv
resultaten medisch onderzoek?)
- Doel (wordt de informatie waarschijnlijk gebruikt om iemand te
beïnvloeden, beoordelen of op een bepaalde manier te behandelen,
bv IP-adres voor ads?)
- Resultaat (zal het gebruik van de gegevens gevolgen hebben voor
iemands belangen of rechten, bv bepalen hoogte verzekering?)
(3)
Voor identificeerbaarheid is niet vereist dat gegevens herleidbaar zijn tot
iemands naam. Iemand hoeft alleen individualiseerbaar en te
onderscheiden van anderen zijn, bv via een nummer. Er moet rekening
gehouden worden met de middelen die gebruikt kunnen worden om dit te
doen, en de kosten daarvan (zowel in geld als tijd).
(4)
De AVG definieert niet wat een natuurlijk persoon is, dit doen lidstaten zelf.
Gegevens over ondernemingen vallen bv niet onder de definitie, tenzij het
een eenmanszaak is. Gegevens over mensen die verbonden staan aan de
onderneming natuurlijk wel, zoals contactgegevens van werknemers.
,Persoonsgegevens gaan over levende natuurlijke personen. Gegevens
over overledenen zijn ten aanzien van de overledenen dus geen
persoonsgegevens, maar kunnen dat wel zijn over de nabestaanden van
de overledenen (bv iemand is overleden aan erfelijke ziekte).
2.2 – Pseudonieme persoonsgegevens
Persoonsgegevens kunnen gepseudonimiseerd worden. Ze zijn dan niet
meer herleidbaar tot een specifiek persoon zonder aanvullende gegevens.
Die aanvullende gegevens moeten apart bewaard worden en er moeten
technische en organisatorische maatregelen worden genomen om ervoor
te zorgen dat de persoonsgegevens niet zomaar aan die specifieke
persoon kunnen worden gekoppeld.
Het toepassen van pseudonimisering kan bv een beveiligingsmaatregel
vormen om te voldoen aan art. 32 AVG. Omdat de gegevens nog wel
herleidbaar zijn, is het geen anonimisering.
2.3 – Anonieme gegevens
Anonieme gegevens zijn niet direct of indirect herleidbaar tot een levend
persoon. Privacyregels zijn hier ook niet op van toepassing. Toch moet er
wel rekening gehouden worden met restrisico’s (bv nieuwe technologie).
Op het anonimiseren zelf zijn de regels nog wel van toepassing, aangezien
dat een verwerkingshandeling is.
Er zit een verschil in anonieme en geanonimiseerde gegevens. Anonieme
gegevens zijn nooit persoonsgegevens geweest (bv jaarrekening van NV).
Geanonimiseerde gegevens waren wel persoonsgegevens, maar zijn
bewerkt zodat ze dat nu niet meer zijn (bv oud klantnummer zonder
verdere gegevens).
Er is niet snel sprake van geanonimiseerde persoonsgegevens, hier is pas
van sprake als de volgende drie risico’s uitgesloten zijn:
1. Herleidbaarheid (kan je de persoon individualiseren?)
2. Koppelbaarheid (kan je de gegevens in verband brengen met
iemand?)
3. Deduceerbaarheid (kan je persoonsgebonden info afleiden uit de
gegevens?)
2.4 – Bijzondere persoonsgegevens
Het verwerken van bepaalde persoonsgegevens kan een grotere impact op
iemands privacy hebben, omdat ze gevoelig zijn voor iemands
grondrechten en fundamentele vrijheden. Dit zijn onder andere ‘bijzondere
persoonsgegevens’.
Hieronder vallen gegevens over:
- iemands ras of etnische afkomst
- gegevens over politieke opvattingen
- religieuze of levensbeschouwelijke overtuigingen
- gezondheid gegevens (zowel genetisch als biometrisch)
, - Lidmaatschap van een vakbond
- Seksueel gedrag of seksuele gerichtheid
Voor biometrische gegevens is in de wet zelf aangegeven dat het
relevant is voor welk doel de gegevens worden verwerkt. Het gaat om
biometrische gegevens die verwerkt worden met oog op de unieke
identificatie van iemand. Niet alle camerabeelden zijn dus biometrische
gegevens, alleen als de eenduidige identificatie van iemand mogelijk is
of wordt bevestigd.
Bijzondere persoonsgegevens hebben dezelfde bouwstenen als normale
persoonsgegevens.
2.5 – Gevoelige persoonsgegevens
Onder gevoelige gegevens vallen de zojuist besproken bijzondere
persoonsgegevens, en een aantal andere soorten.
Ten eerste zijn strafrechtelijke gegevens ‘gevoelig’. EU-lidstaten kunnen
tot een bepaalde hoogte hierover zelf regels opstellen. Wij hebben dit
gedaan, strafrechtelijke gegevens zijn bij ons:
1. Persoonsgegevens over strafrechtelijke veroordelingen en strafbare
feiten (en mogelijk gegronde verdenkingen/concrete aanwijzingen)
2. Informatie over daarmee verband houdende veiligheidsmaatregelen
3. Door de rechter opgelegd verbod naar aanleiding van onrechtmatig
of hinderlijk gedrag
Ten tweede zijn nationale identificatienummers een categorie gevoelige
gegevens. De AVG regelt dit niet, maar onze UAVG wel. Een nationaal
identificatienummer is een nummer dat ter identificatie van een persoon
bij de wet is voorgeschreven, zoals BSN.
Naast deze in de wet genoemde gevoelige gegevens, is er ook een
restcategorie.
1. Gegevens die verband houden met huishoudelijke en
privéactiviteiten (zoals digitale communicatie waarvan
vertrouwelijkheid moet worden beschermd)
2. Gegevens die de uitoefening van een grondrecht beïnvloeden, zoals
locatie
3. Gegevens die duidelijke gevolgen hebben voor het dagelijks leven
van de betrokkene, zoals financiële gegevens
Andere zeer persoonlijke gegevens zijn (niet wettelijk bepaald):
- Persoonlijke documenten
- E-mails
- Dagboeken
- Notities
- Informatie in ‘life-logging’ apps.
