De Privacy Baseline/Persoonsgegevens en bijzondere persoonsgegevens
| ||||||||||
Persoonsgegevens en bijzondere persoonsgegevens[bewerken]
Onder persoonsgegevens verstaat de AVG (Algemene Verordening Gegevensbescherming) alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
- Direct identificeerbaar: Gegevens die naar hun aard rechtstreeks betrekking hebben op een persoon, zoals iemands naam.
- Indirect identificeerbaar: Gegevens die naar hun aard geen betrekking hebben op een persoon worden als persoonsgegeven aangemerkt als deze mede bepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld. Voorbeelden hiervan zijn het type huis of auto van een betrokkene, omdat dit iets zegt over het inkomen en vermogen van de betrokkene. Ook gegevens die in combinatie met andere gegevens tot identificeerbaarheid kunnen leiden worden aangemerkt als persoonsgegeven.
Merk op dat een definiëring van "Betrokkene" is af te leiden uit de definitie van "Persoonsgegevens": De betrokkene is degene op wie een persoonsgegeven betrekking heeft en daarmee geïdentificeerd kan worden. Daarover nog het volgende: de betrokkene is géén eigenaar van zijn/haar data; eigendom van data is in juridische zin niet mogelijk.
Bijzondere categorieën van persoonsgegevens[bewerken]
De Avg spreekt van 'bijzondere categorieën van persoonsgegevens'[1]. Dit zijn gegevens over:
- Ras of etnische afkomst;
- Politieke opvattingen;
- Religieuze of levensbeschouwelijke overtuigingen;
- Lidmaatschap van een vakbond;
- Genetische gegevens;
- Biometrische gegevens met het oog op de unieke identificatie van een persoon;
- Gezondheid;
- Seksueel gedrag of seksuele gerichtheid.
Bijzondere persoonsgegevens zijn naar hun aard vertrouwelijker dan 'gewone' persoonsgegevens en verwerking ervan geschiedt op andere gronden dan 'gewone' persoonsgegevens. Het vertrekpunt is dat verwerking van deze categorieën van gegevens verboden is tenzij aan een aantal voorwaarden is voldaan[2]. Deze voorwaarden kennen significante verschillen ten opzichte van de voorwaarden voor de verwerking van persoonsgegevens in het algemeen[3]. Het criterium U.01 Doelbinding gegevensverwerking gaat hier uitgebreid op in.
In de overwegingen van de Avg komen we nog de term 'gevoelige gegevens' tegen; deze wordt gebruikt als kwalificatie van bijzondere persoonsgegevens en geeft feitelijk de aanleiding weer voor de bijzondere, strengere vereisten die voor de verwerking van deze gegevens gelden[4].
Strafrechtelijke gegevens en het BSN[bewerken]
Strafrechtelijke gegevens worden in de Avg niet als bijzondere persoonsgegevens aangemerkt. In Avg art. 10 zijn specifieke bepalingen opgenomen ten aanzien van de verwerking van deze gegevens. In de AVG (Algemene Verordening Gegevensbescherming) wordt een nationaal identificatienummer niet aangemerkt als een bijzonder persoonsgegeven. In de UAVG (Uitvoeringswet AVG) worden aanvullende voorwaarden gesteld aan het gebruik van een dergelijk nummer, in Nederland het BSN (zie verder onder U.01 Doelbinding gegevensverwerking). Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald[5].