De Privacy Baseline/Persoonsgegevens en bijzondere persoonsgegevens

Uit NORA Online
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
Alle hoofdstukken bij De Privacy Baseline:

Persoonsgegevens en bijzondere persoonsgegevens

Onder persoonsgegevens verstaat de Algemene Verordening Gegevensbescherming (AVG) alle informatie over een geïdentificeerde of identificeer-bare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

  • Direct identificeerbaar: Gegevens die naar hun aard rechtstreeks betrekking hebben op een persoon, zoals iemands naam.
  • Indirect identificeerbaar: Gegevens die naar hun aard geen betrekking hebben op een persoon worden als persoonsgegeven aangemerkt als deze mede bepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld. Voorbeelden hiervan zijn het type huis of auto van een betrokkene, omdat dit iets zegt over het inkomen en vermogen van de betrokkene. Ook gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die in combinatie met andere gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd tot identificeerbaarheid kunnen leiden worden aangemerkt als persoonsgegeven.

Merk op dat een definiëring van "Betrokkene" is af te leiden uit de definitie van "Persoonsgegevens": De betrokkene is degene op wie een persoonsgegeven betrekking heeft en daarmee geïdentificeerd kan worden. Daarover nog het volgende: de betrokkene is géén eigenaar van zijn/haar data; eigendom van data is in juridische zin niet mogelijk.

Bijzondere categorieën van persoonsgegevens

De Avg spreekt van 'bijzondere categorieën van persoonsgegevens'[1]. Dit zijn gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over:

  • Ras of etnische afkomst;
  • Politieke opvattingen;
  • Religieuze of levensbeschouwelijke overtuigingen;
  • Lidmaatschap van een vakbond;
  • Genetische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd;
  • Biometrische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd met het oog op de unieke identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon;
  • Gezondheid;
  • Seksueel gedrag of seksuele gerichtheid.

Bijzondere persoonsgegevens zijn naar hun aard vertrouwelijker dan 'gewone' persoonsgegevens en verwerking ervan geschiedt op andere gronden dan 'gewone' persoonsgegevens. Het vertrekpunt is dat verwerking van deze categorieën van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd verboden is tenzij aan een aantal voorwaarden is voldaan[2]. Deze voorwaarden kennen significante verschillen ten opzichte van de voorwaarden voor de verwerking van persoonsgegevens in het algemeen[3]. Het criterium U.01 Doelbinding gegevensverwerking (§2.2.1) gaat hier uitgebreid op in.

In de overwegingen van de Avg komen we nog de term 'gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd' tegen; deze wordt gebruikt als kwalificatie van bijzondere persoonsgegevens en geeft feitelijk de aanleiding weer voor de bijzondere, strengere vereisten die voor de verwerking van deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd gelden[4].

Strafrechtelijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en het BSN

Strafrechtelijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden in de Avg niet als bijzondere persoonsgegevens aangemerkt. In Avg art. 10 zijn specifieke bepalingen opgenomen ten aanzien van de verwerking van deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd. In de Avg wordt een nationaal identificatienummer niet aangemerkt als een bijzonder persoons-gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. In de Uitvoeringswet Avg worden aanvullende voorwaarden gesteld aan het gebruik van een dergelijk nummer, in Nederland het BSN (zie verder onder U.01 Doelbinding gegevensverwerking, §2.2.1). Een nummer dat ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon bij wet is voorgeschreven, wordt bij de verwerking slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald[5].

Voetnoten

  1. Avg art. 9.
  2. Merk op dat dit vertrekpunt in algemene zin voor de verwerking van persoonsgegevens geldt.
  3. Avg art. 9.
  4. Avg overweging 10, 51 en 91.
  5. Uitvoeringswet Avg art. 44.