Persoonsgegevens: verschil tussen versies
Geen bewerkingssamenvatting |
Geen bewerkingssamenvatting |
||
| Regel 34: | Regel 34: | ||
De reden dat deze gegevens als bijzonder worden beschouwd, is omdat ze direct of indirect kunnen leiden tot discriminatie, uitsluiting of stigmatisering van individuen. Daarom is het verzamelen, verwerken en opslaan van deze gegevens verboden, tenzij er sprake is van een specifieke uitzondering zoals [[toestemming]] van de betrokken persoon of noodzakelijkheid voor een specifieke doelstelling. In het geval van gezondheidsgegevens is bijvoorbeeld een uitzondering toegestaan als de verwerking noodzakelijk is voor de uitvoering van een zorgovereenkomst of om redenen van algemeen belang op het gebied van volksgezondheid. | De reden dat deze gegevens als bijzonder worden beschouwd, is omdat ze direct of indirect kunnen leiden tot discriminatie, uitsluiting of stigmatisering van individuen. Daarom is het verzamelen, verwerken en opslaan van deze gegevens verboden, tenzij er sprake is van een specifieke uitzondering zoals [[toestemming]] van de betrokken persoon of noodzakelijkheid voor een specifieke doelstelling. In het geval van gezondheidsgegevens is bijvoorbeeld een uitzondering toegestaan als de verwerking noodzakelijk is voor de uitvoering van een zorgovereenkomst of om redenen van algemeen belang op het gebied van volksgezondheid. | ||
Organisaties die bijzondere persoonsgegevens verwerken, zijn verplicht om [[passende technische en organisatorische maatregelen]] te treffen om de vertrouwelijkheid, integriteit en beschikbaarheid van deze gegevens te waarborgen. Dit kan onder andere inhouden dat de toegang tot deze gegevens beperkt is tot geautoriseerd personeel en dat er encryptie (ander woord voor het versleutelen van informatie) en beveiligde opslagmethoden worden gebruikt. | Organisaties die bijzondere persoonsgegevens verwerken, zijn verplicht om [[passende technische en organisatorische maatregelen]] te treffen om de vertrouwelijkheid, integriteit en beschikbaarheid van deze gegevens te waarborgen. Dit kan onder andere inhouden dat de toegang tot deze gegevens beperkt is tot geautoriseerd personeel en dat er encryptie (ander woord voor het versleutelen van informatie om vertrouwelijkheid en integriteit te waarborgen) en beveiligde opslagmethoden worden gebruikt. | ||
Samenvattend zijn bijzondere persoonsgegevens persoonsgegevens die extra gevoelig zijn en daarom een hogere mate van bescherming vereisen onder de AVG. Organisaties dienen zich bewust te zijn van de bijzondere status van deze gegevens en de verplichtingen die daarbij horen om de privacy en rechten van betrokkenen te waarborgen. | Samenvattend zijn bijzondere persoonsgegevens persoonsgegevens die extra gevoelig zijn en daarom een hogere mate van bescherming vereisen onder de AVG. Organisaties dienen zich bewust te zijn van de bijzondere status van deze gegevens en de verplichtingen die daarbij horen om de privacy en rechten van betrokkenen te waarborgen. | ||
Versie van 20 feb 2024 11:43
De AVG is van toepassing op iedere verwerking van persoonsgegevens. Een persoonsgegeven is ieder gegeven waarmee een levend mens kan worden geïdentificeerd.
In het kort
Zoals hierboven te lezen is een persoonsgegeven ieder gegeven waarmee een levend mens kan worden geïndentificeerd. Om 'informatie' te kunnen bestempelen als een persoonsgegeven moet het dus betrekking hebben op een geïdentificeerde of identificeerbare levende natuurlijke persoon. Dit is de definitie die wordt gehanteerd in de AVG, de Europese privacywet. De AVG is van toepassing op elke verwerking van persoonsgegevens, dat wil zeggen elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens.
De AVG maakt het gemakkelijker om iets te bestempelen als een persoonsgegeven, omdat het niet langer nodig is om (ook) een naam te kunnen plakken op een persoon om deze te kunnen identificeren. De gedachte is dat een persoon ook prima te identificeren is door bijvoorbeeld zijn locatie en wat overige persoonskenmerken ("die lange meneer achterin de zaal", of "een jonge dame van 21 jaar met bovengemiddelde interesse in dure auto's").
Voorbeelden van persoonsgegevens zijn dus:
- Namen en adressen
- IP-adressen of MAC-adressen van telefoons gebruikt door individuele mensen
- Locatiegegevens van mensen (zoals een GPS-locatie)
- De uitkomst van een toets. Ook als die aan een studentennummer te koppelen is (het studentennummer moet wel weer gekoppeld kunnen worden aan een individuele student).
Gegevens zijn géén persoonsgegevens als ze niet over een levend persoon gaan. De volgende voorbeelden zijn dus geen persoonsgegevens:
- De jaarcijfers van een BV
- Metingen van het geluidsniveau van de nabijgelegen snelweg
- Een foto van een voordeur waarbij het huisnummer niet in beeld is
- De overlijdensdatum van een oud-medewerker
Identificeerbaar
De AVG hanteert een ruim begrip van identificeerbaarheid. Het gaat niet alleen om gegevens die direct naar een persoon verwijzen, zoals een naam, een adres of een burgerservicenummer, maar ook om gegevens die indirect naar een persoon kunnen leiden, zoals een IP-adres, een locatie of een combinatie van kenmerken. Het maakt daarbij niet uit of de identificatie daadwerkelijk plaatsvindt of slechts mogelijk is. Ook hoeft het niet te gaan om unieke gegevens; als er meerdere personen zijn die aan dezelfde kenmerken voldoen, kunnen deze kenmerken nog steeds als persoonsgegevens worden beschouwd.
Hierdoor kunnen gegevens die apart genomen geen persoonsgegevens zijn, dit in de context wel zijn. Een datum zegt op zichzelf natuurlijk niks, maar een datum op een diploma met daarop andere identificeerbare gegevens wél. Bijvoorbeeld omdat die datum een bepaald kennisniveau aanduidt vanaf een bepaald moment.
Bij het bepalen of iemand identificeerbaar is, moet gekeken worden naar alle middelen die redelijkerwijs gebruikt kunnen worden om de persoon te identificeren. Heb jij dus geen mogelijkheid, ook niet met de hulp van derden, om informatie te koppelen aan een persoon (bijvoorbeeld met behulp van extra gegevens), dan zijn het geen persoonsgegevens.
Bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn persoonsgegevens die extra gevoelig zijn en daarom een hogere mate van bescherming vereisen onder de AVG. Dit type persoonsgegevens omvat onder andere gegevens over iemands ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid, seksuele voorkeur, genetische gegevens en biometrische gegevens.
De reden dat deze gegevens als bijzonder worden beschouwd, is omdat ze direct of indirect kunnen leiden tot discriminatie, uitsluiting of stigmatisering van individuen. Daarom is het verzamelen, verwerken en opslaan van deze gegevens verboden, tenzij er sprake is van een specifieke uitzondering zoals toestemming van de betrokken persoon of noodzakelijkheid voor een specifieke doelstelling. In het geval van gezondheidsgegevens is bijvoorbeeld een uitzondering toegestaan als de verwerking noodzakelijk is voor de uitvoering van een zorgovereenkomst of om redenen van algemeen belang op het gebied van volksgezondheid.
Organisaties die bijzondere persoonsgegevens verwerken, zijn verplicht om passende technische en organisatorische maatregelen te treffen om de vertrouwelijkheid, integriteit en beschikbaarheid van deze gegevens te waarborgen. Dit kan onder andere inhouden dat de toegang tot deze gegevens beperkt is tot geautoriseerd personeel en dat er encryptie (ander woord voor het versleutelen van informatie om vertrouwelijkheid en integriteit te waarborgen) en beveiligde opslagmethoden worden gebruikt.
Samenvattend zijn bijzondere persoonsgegevens persoonsgegevens die extra gevoelig zijn en daarom een hogere mate van bescherming vereisen onder de AVG. Organisaties dienen zich bewust te zijn van de bijzondere status van deze gegevens en de verplichtingen die daarbij horen om de privacy en rechten van betrokkenen te waarborgen.