Herken persoonsgegevens en voorkom onnodige risico’s en kosten
Het privacyrecht (o.a. de AVG (de Algemene Verordening Gegevensbescherming)) ziet op persoonsgegevens. Op alle andere gegevens zijn deze wetten en regels niet van toepassing. Op het niet-naleven van de privacy wet- en regelgeving staan vaak zware sancties, waaronder hoge boetes. Deze wetten en regels worden door ondernemers en organisaties echter vaak als een last ervaren. Dat betekent dat het belangrijk is te weten voor welke gegevens het privacyrecht geldt en waarvoor niet.
Wat zijn persoonsgegevens?
Het lijkt heel simpel. En voor een deel is dat terecht. Soms blijkt echter informatie waarvan je dat niet verwacht persoonsgegevens te zijn.
De AVG geeft de volgende definitie van persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Iemand is identificeerbaar wanneer zijn/haar identiteit direct of indirect kan worden vastgesteld. Gegevens die helpen een persoon te identificeren, heten ‘indicatoren’. Voorbeelden hiervan zijn bijvoorbeeld: namen, identificatienummers, locatiegegevens, online identificators (voorbeeld: ip-adres) en elementen die iemands fysieke, genetische, fysiologische, psychische, economische, culturele of sociale identiteit kenmerken.
Let op: wegstrepen is ook identificeren! Kan je op basis van de gegevens zo zeer elimineren dat je hiermee een natuurlijke persoon kan identificeren? Dan zijn die gegevens ook persoonsgegevens.
Sommige gegevens worden snel als persoonsgegeven ervaren. Denk bijvoorbeeld aan namen of burgerservicenummers (BSN’s). Voor andere gegevens ligt dat anders. Voorbeelden hiervan zijn: geslacht, leeftijd, beroep etc. Vaak gaat het om informatie die niet direct naar een bepaalde persoon leidt. Daarvoor zijn dan eerst extra (denk)stappen nodig. Of dit soort informatie persoonsgegevens zijn, hangt af van de moeilijkheid en/of kostbaarheid van deze stappen.
Soms wordt een gegeven pas een persoonsgegeven door combinatie hiervan met andere informatie. Een veelvoorkomende achternaam alleen zegt in het algemeen niet veel. Wordt dit echter met een bijzondere voornaam of uniek beroep (of beide) gecombineerd, dan is dat opeens anders. Een ander voorbeeld is de informatie: vrouwen verdienen € 1.500,–. Dit zegt niets over een geïdentificeerde of identificeerbare persoon. Blijkt echter dat het om een specifiek bedrijf gaat waar maar één vrouw werkt, dan is het direct anders.
Of bepaalde informatie een persoonsgegeven is, hangt dus van de situatie af. Iets kan in het ene geval geen persoonsgegeven zijn en in het andere wel.
Wat zijn in ieder geval geen persoonsgegevens?
Bepaalde gegevens zijn geen persoonsgegevens. Dat zijn in ieder geval gegevens die betrekking hebben op: overleden personen en rechtspersonen. Maar soms zitten hierin toch weer persoonsgegevens verstopt. Zo geeft de jaarrekening van een bv met één aandeelhouder waarbij de aandeelhouder ook bestuurder is informatie over deze aandeelhouder/bestuurder. Is dit een natuurlijke persoon, dan zijn dit persoonsgegevens.
Verder zijn geanonimiseerde gegevens geen persoonsgegevens. Let echter op: de AVG en de UAVG (Uitvoeringswet Algemene Verordening Gegevensbescherming) stellen heel strenge eisen aan anonimiseren.
Goed kwalificeren kan boetes of kosten voorkomen
Worden persoonsgegevens niet als zodanig behandeld, dan kan dit tot (zware) boetes en andere sancties en maatregelen leiden. Worden gegevens ten onrechte als persoonsgegevens behandeld? Dan kan dit tot onnodige kosten en belasting leiden. Denk bijvoorbeeld aan een onnodige melding van een informatielek (omdat het geen persoonsgegevens betreft) of het doen van een gegevensbeschermingseffectbeoordeling terwijl dit niet nodig is.
Advies
Beoordeel steeds kritisch of bepaalde gegevens wel/geen persoonsgegevens zijn. Laat u daarbij zo nodig bijstaan door een deskundige. Deze is getraind in het herkennen van verbanden die anders gemakkelijker over het hoofd kunnen worden gezien. Verder ziet een derde de onderneming/organisatie met een objectievere blik.
Twijfelt u en wilt u het zekere voor het onzekere nemen? Behandel gegevens dan als persoonsgegevens.
Kiest u er bij twijfel toch voor om informatie niet als persoonsgegevens te behandelen? Leg dan uitvoerig schriftelijk vast waarom u dit niet doet. Is de onderneming/organisatie hiermee behoed voor sancties en maatregelen wanneer het toch persoonsgegevens blijken te zijn? Nee, maar het kan wel helpen wanneer u aantoont dat er heel zorgvuldig is gehandeld.
Heeft u vragen?
Vraagt u zich af of bepaalde gegevens persoonsgegevens zijn of dat dit juist geen persoonsgegevens zijn? Wilt u weten welke risico’s u en/of de onderneming/organisatie loopt/lopen? Wij helpen u graag. Neem dan vrijblijvend contact op met Cathelijne Elassaiss-Schaap via elassaiss@elassaiss.nl of via 0344 – 227 030.