De AVG draait om de bescherming van persoonsgegevens. Maar wat valt daar precies onder? Alleen je naam en adres, of ook je IP-adres en locatie? In dit artikel lees je wat persoonsgegevens zijn, welke soorten er zijn en waarom het onderscheid ertoe doet.
Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. Dat is de definitie uit de AVG. In gewone taal: elk gegeven waarmee je direct of indirect kunt achterhalen om welke persoon het gaat.
Voorbeelden van persoonsgegevens:
- Naam, adres, telefoonnummer en e-mailadres
- IP-adres en cookiegegevens
- Foto's en videobeelden waarop iemand herkenbaar is
- Locatiegegevens en online identificatoren
Gegevens van bedrijven of overledenen vallen niet onder de AVG. Die gaat uitsluitend over levende, natuurlijke personen.
Wat zijn bijzondere persoonsgegevens?
Naast gewone persoonsgegevens kent de AVG een bijzondere categorie: bijzondere persoonsgegevens. Deze zijn extra gevoelig en mogen in principe niet worden verwerkt, tenzij aan strikte voorwaarden is voldaan.
- Gezondheidsgegevens en medische informatie
- Ras of etnische afkomst
- Politieke opvattingen
- Religieuze of levensbeschouwelijke overtuigingen
- Genetische en biometrische gegevens (zoals vingerafdrukken)
- Seksuele gerichtheid
Voor deze gegevens geldt een verwerkingsverbod, met een beperkt aantal uitzonderingen. Denk aan een huisarts die gezondheidsgegevens verwerkt voor de behandeling van een patiënt.
Wanneer zijn gegevens géén persoonsgegevens?
Niet alle data is automatisch een persoonsgegeven. Gegevens zijn anoniem als het onmogelijk is om de persoon erachter te achterhalen – ook niet via combinatie met andere informatie.
Let op het verschil:
- Geanonimiseerde data – de persoon is niet meer te achterhalen, geen persoonsgegeven
- Gepseudonimiseerde data – de naam is vervangen door een code, maar de persoon is nog te achterhalen via de sleutel – wél een persoonsgegeven
Statistieken over een groep mensen zonder dat individuen te identificeren zijn, vallen ook buiten de definitie van persoonsgegevens.
Waarom is het onderscheid zo belangrijk?
Of iets een persoonsgegeven is, bepaalt of de AVG van toepassing is. Verwerk je persoonsgegevens zonder wettelijke grondslag? Dan overtreed je de AVG en riskeer je een boete van de Autoriteit Persoonsgegevens.
Voor bijzondere persoonsgegevens gelden nog strengere regels. Die mag je alleen verwerken als je een expliciete uitzondering kunt aanwijzen én passende beveiligingsmaatregelen hebt getroffen.
Voorbeelden: wel of geen persoonsgegeven?
Wel een persoonsgegeven:
- Een e-mailadres zoals jan.jansen@gmail.com
- Een kenteken gekoppeld aan een persoon
- Een combinatie van postcode + geboortedatum waarmee iemand te identificeren is
Geen persoonsgegeven:
- Het totale aantal bezoekers van een website
- Een volledig geanonimiseerde onderzoeksdataset
- Gegevens van een bedrijf (rechtspersoon)
Wil je weten hoe je als organisatie correct omgaat met persoonsgegevens? Lees hier meer over de AVG en wat die betekent voor jouw bedrijf.
Veelgestelde vragen
Is een e-mailadres een persoonsgegeven?
Ja, een e-mailadres zoals voornaam.achternaam@domein.nl is direct herleidbaar tot een persoon en valt daarmee onder de definitie van persoonsgegevens.
Is een IP-adres een persoonsgegeven?
In de meeste gevallen wel. Als een IP-adres te koppelen is aan een individu – wat internetproviders kunnen – dan is het een persoonsgegeven. Ook de AVG en Europese rechtspraak beschouwen IP-adressen doorgaans als persoonsgegevens.
Zijn gegevens van bedrijven ook persoonsgegevens?
Nee. De AVG beschermt uitsluitend gegevens van natuurlijke personen. Gegevens van een bv of nv zijn geen persoonsgegevens. Let op: de naam van een eenmanszaak kan wél een persoonsgegeven zijn als die direct aan een persoon is gekoppeld.
Wat zijn bijzondere persoonsgegevens?
Bijzondere persoonsgegevens zijn extra gevoelige categorieën zoals gezondheidsgegevens, ras, religie, politieke overtuiging en biometrische gegevens. Voor deze gegevens geldt een strenger verwerkingsverbod onder de AVG.
Wanneer zijn gegevens anoniem?
Gegevens zijn anoniem als het absoluut onmogelijk is om de persoon erachter te achterhalen – ook niet via combinatie met andere beschikbare informatie. Gepseudonimiseerde gegevens zijn dat niet, omdat de koppeling via een sleutel nog mogelijk is.
