Privacy basis 1: Persoonsgegevens, betrokkenen en verwerkers

Het recht op bescherming van persoonsgegevens heeft geen absolute gelding. Het is een afweging tussen verschillende rechten en belangen. De rechten van de betrokken mensen en de belangen van bijvoorbeeld de overheid of een bedrijf. Omdat het gaat om een afweging van verschillende rechten en belangen is er veel grijs gebied, vage normen en moet veel door de spelers zelf ingevuld of afgewogen worden. Dat maakt privacy ingewikkeld.

Er worden steeds meer persoonsgegevens verzameld. Bijvoorbeeld door technologische ontwikkelingen (Facebook, big data analyses, Google et cetera) en globalisering (over heel de wereld verzamelen en analyseren ze onze gegevens). De mate waarin persoonsgegevens worden verzameld en gedeeld is enorm gestegen.

Dankzij technologie kunnen bedrijven en overheden bij de uitvoering van hun activiteiten meer dan ooit gebruik maken van persoonsgegevens.  Vroeger gebruikte je een kaart, nu Google Maps (en verwerken ze jouw gegevens; Google weet alle plekken waar jij bent geweest, net als Facebook als je er incheckt), vroeger ging je “anoniem” een winkel in en kocht je een boek, nu bestel je die bij Bol.com en kunnen ze analyseren wat je nog meer zou willen kopen en je daar een aanbieding voor doen.

Bedrijven weten steeds meer over jou als consument. Maar ook als werknemer is er veel veranderd. Nu kunnen analyses van toetsaanslagen per dat gekoppeld worden aan ziekte verzuim en verlof waardoor er een melding richting de manager gaat als een werknemer eigenlijk toe is aan vakantie, om zo ziekte verzuim te verlagen.

Die ontwikkelingen vereiste een nieuw Europees kader voor gegevensbescherming. Gesteund door strenge handhaving en waarbij natuurlijk personen controle hebben over hun eigen persoonsgegevens.

Wat zijn de belangrijkste termen uit de AVG?

Persoonsgegevens

„persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïden­tificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Alle gegevens over een persoon die je (met enige moeite) kunt identificeren = persoonsgegevens.

Bijvoorbeeld NAW-gegevens, telefoonnummers, e-mailadressen, leeftijd, CV, medische informatie, bankgegevens en videobeelden (kunnen) persoonsgegevens zijn. Maar, het gaat altijd om de context van de gehele beschikbare set gegevens.

Een persoon kan niet worden geïdentificeerd door alleen een geboortedatum (21 juli 1982 op zichzelf is geen persoonsgegeven), maar wel in combinatie met bijvoorbeeld een naam (met “Jeroen van Woezik”  en  “21 juli 1982”  is wel te bepalen om wie het gaat en zijn de naam en de geboortedatum wel persoonsgegevens).

Een kenteken van een auto is voor mij geen persoonsgegeven omdat ik geen toegang heb tot de RDW database. Maar voor een medewerker van de RDW is het wel een persoonsgegeven. Kortom, of iets een persoonsgegeven is ligt niet vast en verschilt per geval.

Er zijn verschillende soorten persoonsgegevens. De wet kent er 2: gewone persoonsgegevens (NAW, telefoonnummer, geboortedatum) en bijzondere persoonsgegevens.

Bijzondere categorieën van persoonsgegevens

Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbe­schouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

Tenzij… er bijvoorbeeld toestemming voor is gegeven of een andere uitzonderingsgrond is op het verbod.

Naast normale persoonsgegevens  en bijzondere persoonsgegevens zijn er ook “Gevoelige gegevens”, zoals bijvoorbeeld:

  • Financiële gegevens, zoals salaris of banksaldo;
  • Rekeningnummer, hypotheekgegevens, betaalgedrag;
  • locatie gegevens;
  • gegevens over gedrag (en bijbehorende patronen;
  • gegevens over minderjarige.

Voor dit type gegevens moeten ook extra maatregelen getroffen worden voor de bescherming er van. Kortom, er zijn:

  • Gewone persoonsgegevens
  • Gevoelige persoonsgegevens
  • Bijzondere persoonsgegevens

Verwerking

„verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

Wat valt niet onder een “verwerking“ ?

Betrokkene

alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”)

Verantwoordelijke

„verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoons­gegevens vaststelt;

(Sub)Verwerker

„verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;

HR systeem leverancier is bijvoorbeeld wel weer verantwoordelijke voor zijn eigen klantgegevens en werknemersgegevens.

Gerelateerde berichten