De AVG gaat over persoonsgegevens. Dat zijn alle gegevens die te herleiden zijn tot een mens. De bekendste zijn naam, leeftijd en geboortedatum. Maar ook telefoonnummer, adres en woonplaats zijn persoonsgegevens, net als uw bankrekeningnummer, transactiegegevens, IP-adres, locatiegegevens en burgerservicenummer (BSN).
Voorbeelden persoonsgegevens
Voor de hand liggende persoonsgegevens zijn iemands naam, adres, telefoonnummer en pasfoto. Maar persoonsgegevens zijn bijvoorbeeld ook wat iemand op internet koopt, of die persoon allergieën heeft en beelden van een bewakingscamera waar diegene herkenbaar op staat.
Gegevens van overleden personen, organisaties of dieren zijn geen persoonsgegevens volgens de AVG en vallen dus buiten het toepassingsgebied van de AVG. Op die gegevens kunnen wel andere wet- en regelgevingen van toepassing zijn.
Het gaat om gegevens zoals iemands naam, adres, woonplaats, telefoonnummer en geboortedatum. Maar ook bijvoorbeeld klantnummers, salarisstrookjes, foto's, zakelijke telefoonnummers, vingerafdrukken, dna-materiaal en e-mailadressen zijn persoonsgegevens.
Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare levende natuurlijke persoon. Losse gegevens die samengevoegd kunnen leiden tot de identificatie van een bepaalde persoon vormen ook persoonsgegevens.
Voorbeelden van gewone persoonsgegevens zijn: naam, adres, postcode, telefoonnummer, e-mailadres en IP-adres.
Een ID (paspoort, rijbewijs of ID-kaart) bevat persoonsgegevens in de zin van de AVG. Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon zijn persoonsgegevens (artikel 4 lid 1 AVG). Ook informatie waarmee een persoon indirect of direct kan worden geïdentificeerd zijn persoonsgegevens.
Uitvoering van de overeenkomst
Denk bijvoorbeeld aan een webwinkel die een naam en adres nodig heeft om producten te kunnen leveren. Is het verwerken van de persoonsgegevens alleen maar handig, maar niet noodzakelijk, dan kan deze grondslag niet gebruikt worden.
Sommige gegevens zijn zo delicaat dat ze alleen in heel specifieke gevallen mogen worden verwerkt. Een naam en adres zijn eerder onschuldige gegevens, maar dat geldt niet voor bv. ras, gezondheid, politieke opvattingen, religieuze overtuigingen, seksuele voorkeuren of uw gerechtelijk verleden.
Sommige persoonsgegevens vallen onder de zogenaamde “bijzondere categorieën” van persoonsgegevens: dit zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gegevens ...
Een organisatie mag persoonsgegevens verwerken wanneer de verwerking noodzakelijk is voor de bescherming van vitale belangen. Er wordt gesproken over een vitaal belang als het over een belang gaat dat essentieel is voor iemands leven of gezondheid en er geen toestemming gevraagd kan worden aan die persoon.
U heeft alleen het recht om (gewone) persoonsgegevens te verwerken als u zich kunt baseren op 1 van de 6 grondslagen uit de Algemene verordening gegevensbescherming (AVG). Een van die grondslagen is dat iemand toestemming heeft gegeven om zijn of haar persoonsgegevens te verwerken.
Schendingen van het recht op privacy zijn bijvoorbeeld onwettige huisvredebreuk en huiszoeking, onwettige persoonsregistratie en het onwettig afluisteren van iemands telefoongesprekken.
Onder indirecte persoonsgegevens vallen gegevens die niet rechtstreeks over de persoon gaan, zoals WOZ-waarde, kentekennummer, de winst van een eenmanszaak en het IP-adres van een computer.
In de AVG is geen concrete bewaartermijn voor persoonsgegevens opgenomen. Organisaties mogen zelf bepalen hoe lang ze gegevens bewaren, maar gegevens mogen niet langer bewaard worden dan noodzakelijk.
Dit mag niet in het personeelsdossier staan
Geloofsovertuiging. Ras. Politieke voorkeur. Lidmaatschap vakvereniging.
Nee. Volgens de Algemene verordening gegevensbescherming (AVG) is het burgerservicenummer (BSN) geen bijzonder persoonsgegeven. In de Uitvoeringswet AVG (UAVG) wordt het BSN niet als bijzonder persoonsgegeven aangemerkt.
Voorbeelden van persoonsgegevens
Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens.
Wanneer een cookie een identificatienummer oplevert voor een profiel in een database, is dat cookie een persoonsgegeven. Daarmee geldt de AVG voor dit cookie (en op het profiel zelf natuurlijk).
Zowel het invoeren van een wachtwoord, het controleren van het wachtwoord, als het hashen van een wachtwoord betreft dus een verwerking van persoonsgegevens. Van belang is wel dat er enige feitelijke macht moet kunnen worden uitgevoerd over die gegevens.
Niet elk e-mailadres wordt beschouwd als een persoonsgegeven. E-mailadressen worden echter wel beschouwd als persoonsgegevens wanneer deze identificeerbare informatie omtrent natuurlijke personen bevatten.
U mag uw personeelsgegevens alleen aan derden verstrekken als u hiervoor toestemming heeft verkregen van uw werknemer. De gegevens mogen dan alleen gebruikt worden voor het doel waarvoor de werknemer zijn of haar toestemming heeft gegeven.
De Autoriteit Persoonsgegevens stelt op haar website zeer expliciet dat onbeveiligde e-mail niet meer is toegestaan voor het verzenden van persoonsgegevens. De nieuwe privacy wetgeving stelt dat de verwerking van persoonlijke gegevens met passende maatregelen (zoals encryptie) beschermd dient te worden.
