De Algemene verordening gegevensbescherming (AVG) is in de EU ingevoerd met als doel de bescherming van persoonsgegevens te verbeteren. Om te bepalen of de AVG van toepassing is, is het van cruciaal belang te weten of een organisatie persoonsgegevens verwerkt.
Hoe definieert AVG “persoonsgegevens”?
Artikel 4, lid 1 van de AVG definieert persoonsgegevens als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”)….. een natuurlijke persoon die direct of indirect kan worden geïdentificeerd”.
Belangrijke punten om op te letten:
- Om iemand te kunnen identificeren, hoeft u zijn naam niet te kennen
- Een persoon kan indirect identificeerbaar zijn, zelfs als de benodigde aanvullende informatie niet in de database van het bedrijf is opgeslagen, maar uit een andere bron moet worden verzameld. Indien deze aanvullende gegevens gemakkelijk te verkrijgen zijn, kunnen zij als persoonsgegevens worden beschouwd
- Of informatie als persoonsgegevens wordt beschouwd, hangt af van de betreffende situatie.
Wat is een identificator?
De AVG geeft enkele voorbeelden:
- Naam
- Identificatienummer
- Locatiegegevens
- Online-identificator (bv. IP-adressen)
Deze lijst is niet limitatief, dus ook andere gegevens kunnen als persoonlijk worden beschouwd, zoals functieomschrijving, geloofsovertuiging of zelfs haarkleur!
Om deze gegevens te mogen verwerken, moet een bedrijf een rechtmatige grondslag hebben volgens Artikel 6 van de AVG.
Hoe zit het met gegevens uit “bijzondere categorieën”?
Dit zijn gegevens die als gevoeliger van aard worden beschouwd (d.w.z. de gegevens waarvan u echt niet wilt dat anderen ze over u weten) en die daarom beter moeten worden beschermd, omdat ze grotere risico’s voor de rechten en vrijheden van een persoon kunnen opleveren.
Voorbeelden: ras of etnische afstamming, godsdienstige of levensbeschouwelijke overtuiging, gezondheid, genetische of biometrische gegevens enz.
Voor gegevens in bijzondere categorieën moet niet alleen een rechtmatige grondslag voor verwerking op grond van Artikel 6 bestaan, maar moet ook aan een van de voorwaarden van Artikel 9 zijn voldaan.
AVG -regels omzeilen – anonimisering van persoonsgegevens
Anonimisering van gegevens zorgt ervoor dat individuen niet direct of indirect kunnen worden geïdentificeerd, zodat ze niet langer worden geclassificeerd als persoonsgegevens en niet onder de AVG (GDPR) vallen, waardoor het delen van gegevens gemakkelijker wordt. Het verwijderen van directe identificatoren uit een gegevensset, het verminderen van de nauwkeurigheid van variabelen en het generaliseren van bevindingen zijn slechts enkele manieren om gegevens te anonimiseren.
Samenvatting
- Het is belangrijk om de term “persoonsgegevens” te begrijpen om te bepalen of de AVG -regels van toepassing zijn op de gegevensverwerking van een bedrijf
- Persoonsgegevens zijn gegevens aan de hand waarvan een persoon direct OF indirect kan worden geïdentificeerd
- Onthoud! Er is geen definitieve lijst van wat persoonsgegevens zijn; het hangt er meer van af of een individu kan worden geïdentificeerd aan de hand van de gegevens. Als u het dus niet zeker weet, kunt u gegevens het beste als persoonsgegevens behandelen om een inbreuk te voorkomen
- Maar om zekerheid te hebben, kunt u de AVG -regels vermijden en anonimiseren