Skip to main content

Wat zijn persoonsgegevens (GDPR)?

GDPR is opgebouwd rond de bescherming van de persoonsgegevens van EU-burgers en -ingezetenen. Als u begrijpt wat dit betekent, kan uw bedrijf de GDPR-vereisten onder controle krijgen. GDPR is in feite alleen van toepassing op persoonlijke gegevens. Maar wat zijn persoonlijke gegevens precies? De reikwijdte van deze categorie kan u verrassen! In dit artikel helpen we u te bepalen welke van uw gegevens onder de GDPR-voorschriften vallen, zodat u hopelijk niet onnodig nuttige informatie verwijdert.

We zullen ook uitleggen wat het verschil is tussen persoonsgegevens en gevoelige persoonsgegevens - een belangrijk onderscheid onder GDPR, met gevolgen voor de manier waarop deze worden verzameld, opgeslagen en verwerkt.

Wat zijn precies persoonsgegevens?

Helaas bevat de GDPR geen uitgebreide lijst van wat als persoonsgegevens wordt beschouwd. In de regelgeving staat dat persoonsgegevens zijn: "Alle informatie over een identificeerbare natuurlijke persoon".

Voor de leek betekent dit alle informatie die kan worden gebruikt - alleen of in combinatie met andere informatie - om een levende betrokkene te identificeren. Persoonsgegevens kunnen iets voor de hand liggends zijn, zoals een naam of een gebruikersnaam, maar ook iets minder voor de hand liggends, zoals camerabeelden.

Dergelijke gegevens kunnen namelijk worden gebruikt om uw fysieke aanwezigheid ergens te bevestigen. Het gaat ook om gegevens over de locatie van uw telefoon, IP-adressen en cookiegegevens, evenals e-mailadressen en huisadressen.

Het is echter belangrijk om te onthouden dat deze dingen op zichzelf niet noodzakelijk persoonsgegevens zijn, zoals gedefinieerd in de GDPR-regelgeving - het hangt allemaal af van de specifieke omstandigheid.

Wat heeft de omstandigheid ermee te maken?

Neem bijvoorbeeld iemands naam.

Je zou kunnen veronderstellen dat dit onder GDPR altijd als persoonsgegevens zou worden gecategoriseerd, maar je zou het mis hebben. Aangezien er 48.532 John Smiths in de VS zijn, kan deze naam op zichzelf niet worden gebruikt om een specifieke individuele persoon te identificeren(US Census Bureau). Ter vergelijking: het is waarschijnlijk veilig om te zeggen dat de zoon van Elon Musk de enige persoon op de planeet is die (op dit moment) X Æ A-12 Musk heet.

Het is dan ook logisch dat de GDPR zijn naam als een persoonsgegeven beschouwt, aangezien deze informatie op zichzelf volstaat om zijn individuele identiteit vast te stellen. Dit verandert echter als de naam wordt gecombineerd met andere informatie in het bestand. Het e-mailadres johnsmith@businessx.com zou als persoonsgegevens worden beschouwd, omdat het aangeeft dat er slechts één John Smith voor dit specifieke bedrijf werkt.

Wordt iets niet als persoonsgegevens beschouwd?

In de meeste gevallen worden de gegevens van overleden personen niet beschouwd als persoonsgegevens onder de GDPR. Overweging 26 stelt ook dat anonieme gegevens niet onder de GDPR-regelgeving vallen. Anonimiseren is het proces waarbij alle persoonlijke identificatoren uit gegevens worden geschrapt. Het mag niet worden verward met pseudonieme of gecodeerde gegevens, die nog steeds kunnen worden verwerkt om mensen te identificeren. GDPR moedigt het pseudonimiseren van persoonsgegevens echter actief aan, omdat het de betrokkenen een extra niveau van veiligheid biedt. Gepseudonimiseerde gegevens zijn namelijk alleen toegankelijk voor bevoegde werknemers, waardoor de privacyrisico's voor mensen die hun gegevens aan bedrijven hebben gegeven, worden beperkt.

Hoe zit het met GDPR-gevoelige persoonsgegevens?

Gevoelige persoonsgegevens - of "speciale categoriegegevens" in het officiële lingo van artikel 9 - zijn door GDPR benadrukt als iets dat met extra beveiliging moet worden behandeld. Hier zijn alle voorbeelden van gevoelige persoonsgegevens:

  • Ras of etnische afkomst
  • Politieke opvattingen
  • Religieuze of filosofische overtuigingen
  • Lidmaatschap van een vakbond
  • Strafblad
  • Geclassificeerde gegevens
  • Genetische gegevens
  • Financiële gegevens
  • Biometrische gegevens
  • Gegevens betreffende de gezondheid
  • Geslachtsleven of seksuele geaardheid
  • Bedrijfs- of werkgegevens

Dit onderscheid tussen persoonsgegevens en gevoelige persoonsgegevens is belangrijk. Volgens de GDPR mogen gevoelige gegevens alleen worden verwerkt als ze aan een of meer van de volgende voorwaarden voldoen:

  • Als de persoon uitdrukkelijk toestemming heeft gegeven of de gegevens al openbaar heeft gemaakt
  • Als de gegevens nodig zijn om de belangen te beschermen van betrokkenen die fysiek niet in staat zijn om toestemming te geven
  • Indien de gegevens van essentieel belang zijn om te voldoen aan de wettelijke vereisten inzake werkgelegenheid, sociale zekerheid of sociale bescherming
  • indien de gegevens nodig zijn voor een organisatie zonder winstoogmerk om legitieme activiteiten uit te voeren
  • Indien de gegevens nodig zijn voor activiteiten in verband met een zwaarwegend algemeen belang met betrekking tot gezondheid of geneeskunde

U bent klaar voor de gegevens

Hopelijk hebt u nu een beter idee van welke persoonlijke en gevoelige gegevens u in uw bestand hebt. Dit is de eerste stap op weg naar het identificeren en classificeren van gegevens, en om ervoor te zorgen dat de manier waarop u persoonlijke gegevens opslaat de rechten van EU-internetters onder GDPR respecteert. Het verbeteren van de beveiliging van deze gevoelige informatie zal u ook beter beschermen in het onfortuinlijke geval van een datalek - waardoor uw bedrijf minder boetes zou krijgen van gegevensbeschermingsautoriteiten.

U kunt meer te weten komen over GDPR en gegevensbescherming in onze uitgebreide gids.