In de privacywet Algemene verordening gegevensbescherming (AVG) staat dat een persoonsgegeven 'alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon'. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.
Kortom: informatie die of direct over een persoon gaat, of informatie die naar een persoon te herleiden is. Naam en adres zijn voor de hand liggende persoonsgegevens, maar ook een kenteken of een IP-adres is een persoonsgegeven. Gegevens van overleden personen zijn geen persoonsgegevens volgens de AVG.
Het gaat om gegevens zoals iemands naam, adres, woonplaats, telefoonnummer en geboortedatum. Maar ook bijvoorbeeld klantnummers, salarisstrookjes, foto's, zakelijke telefoonnummers, vingerafdrukken, dna-materiaal en e-mailadressen zijn persoonsgegevens.
Dat het om een natuurlijke persoon moet gaan, betekent dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn. Voorbeelden van gewone persoonsgegevens zijn: naam, adres, postcode, telefoonnummer, e-mailadres en IP-adres.
Er zijn ook 'bijzondere persoonsgegevens', zoals seksuele gerichtheid, godsdienst en gezondheid. Die gegevens mag u niet verwerken, tenzij er voor u een uitzondering in de wet staat. Gegevens over organisaties zijn geen persoonsgegevens. Lees meer over persoonsgegevens volgens de AVG op autoriteitpersoonsgegevens.nl.
U mag persoonsgegevens verstrekken bij een vitaal belang van de betrokkene. Bijvoorbeeld een dringende medische noodzaak. Het is dan wel beter om toestemming te vragen aan de betrokkene. Alleen als dat niet meer mogelijk is, mag u zonder toestemming persoonsgegevens verstrekken.
genetische gegevens, biometrische gegevens die enkel worden verwerkt om een persoon te identificeren; gegevens over gezondheid; gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Strafrechtelijke persoonsgegevens
Strafrechtelijke gegevens zijn gegevens zoals een strafblad, strafbare feiten, verdenkingen en veiligheidsmaatregelen. Strafrechtelijke persoonsgegevens zijn ook extra beschermd door de wet. Meer informatie over persoonsgegevens vindt u op de website van de Autoriteit Persoonsgegevens.
Voorbeelden van bijzondere persoonsgegevens zijn gegevens die iets zeggen over iemands gezondheid, ras, godsdienst, strafrechtelijk verleden of seksuele leven. Ook een lidmaatschap van een vakvereniging is een bijzonder persoonsgegevens.
Voor wie de AVG geldt
De AVG geldt voor iedereen die persoonsgegevens verwerkt. Dus niet alleen voor grote bedrijven, maar ook voor kleine mkb'ers en zzp'ers. En voor de overheid. Verder geldt de AVG niet alleen voor organisaties, maar ook voor individuele personen die gegevens verwerken.
Zowel het invoeren van een wachtwoord, het controleren van het wachtwoord, als het hashen van een wachtwoord betreft dus een verwerking van persoonsgegevens.
Een IP-adres is voor wie het adres uitgeeft altijd een persoonsgegeven [4].
De AVG gaat over persoonsgegevens. Dat zijn alle gegevens die te herleiden zijn tot een mens. De bekendste zijn naam, leeftijd en geboortedatum. Maar ook telefoonnummer, adres en woonplaats zijn persoonsgegevens, net als uw bankrekeningnummer, transactiegegevens, IP-adres, locatiegegevens en burgerservicenummer (BSN).
Iedereen mag eigen persoonsgegevens in de Basisregistratie personen (BRP) met code geheim laten inschrijven. Bepaalde instanties krijgen dan niet uw persoonsgegevens. U kunt geheimhouding online of per post aanvragen.
Artikel 10 van de AVG stelt dat persoonsgegevens rond strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen alleen mogen worden verwerkt onder toezicht van de overheid. Dit is ook mogelijk op basis van Unierechtelijke of lidstaatrechtelijke bepalingen.
Er zijn twee categorieën persoonsgegevens: Persoonsgegevens van klanten, leveranciers, medewerkers en andere relaties, die jij als ondernemer mag verzamelen en verwerken in je bedrijf.
Deze rechten zijn bedoeld om mensen controle te laten houden over hun persoonsgegevens. Mensen hebben bijvoorbeeld het recht om te weten wat een organisatie met hun gegevens doet. En ze kunnen organisaties onder meer vragen om inzage in hun gegevens en om hun gegevens te corrigeren of wissen.
Onder directe persoonsgegevens vallen onder andere iemands geboortedatum, voor- en achternaam, geslacht, adres, pasfoto, telefoonnummer, e-mailadres, burgerservicenummer (BSN), bankrekeningnummer en patiëntendossier.
Een persoonsgegeven zegt dus iets over een natuurlijk persoon. Het College Bescherming Persoonsgegevens (CBP) stelt daarom dat gegevens over organisaties, zoals bedrijven en stichtingen, geen persoonsgegevens zijn in de zin van de Wbp.
Een persoonsgegeven in de zin van de AVG is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de 'betrokkene' genoemd).
Geen verwerking persoonsgegevens
Vraagt een organisatie bijvoorbeeld algemene informatie op bij een andere organisatie? Zonder dat de eerste organisatie daarbij persoonsgegevens noemt? En verstrekt de andere organisatie ook geen persoonsgegevens? Dan hoeft er geen sprake te zijn van verwerken.
Alle gegevens die als bijzonder persoonsgegeven worden gezien zijn extra beschermd onder de AVG. Voor overheden, de juridische sector en de zorg geldt daarom de NTA 7516-norm als je dit soort gegevens per mail wil versturen.
Organisaties moeten moderne techniek gebruiken om persoonsgegevens te beveiligen. Denk hierbij aan antivirus software, firewall, back-ups, veilige wachtwoorden, een beschermde online omgeving, tweefactorauthenticatie, en het versleutelen van data (encryptie).