AVG: wat zijn persoonsgegevens?
De Europese wet die bekend staat als de Algemene Verorderning Gegevensbescherming (AVG) is van toepassing op het gebruiken van persoonsgegevens. Het is daarom van groot belang om te weten wanneer er al dan niet sprake is van 'persoonsgegevens' in de zin van deze wet.
Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd. Informatie die op het eerste gezicht niet herleidbaar lijkt tot een persoon, kan dus volgens de definitie van de AVG wel degelijk een persoonsgegeven zijn. Dat kan zo zijn als de informatie herleidbaar is tot de persoon in kwestie, bijvoorbeeld door de gegevens te combineren met andere of aanvullende gegevens.
- Enkele voorbeelden van 'gewone' persoonsgegevens zijn: naam, adres, e-mailadres, foto, ID-nummer, IP-adres, personeelsnummer, privé of professioneel telefoonnummer (wie-is-wie), login-gegevens, identificatiecookies, rekeningnummer, CV, loggegevens (o.m. cafetaria, parkinggebruik, webgebruik, surfgedrag), camerabeelden, personeelsbestanden, loongegevens, professionele uitgaven, …
- Opgelet: ook gegevens die op het eerste zicht niet direct tot (identificatie van) een persoon leiden, kunnen persoonsgegevens zijn. Zo zijn bijvoorbeeld gegevens over iemands reactietijden op een taak, hersenactiviteit (bv. EEG), bloedsuikerspiegel, persoonlijkheid, huidgeleiding en hartslag ook (gevoelige) 'persoonsgegevens' wanneer er óók informatie bestaat die die gegevens (al dan niet gepseudonimiseerd) aan de natuurlijke persoon linkt (zie ook hieronder bij 'Gepseudonimiseerde gegevens' en 'Geanonimiseerde gegevens').
Gegevens van overleden personen, organisaties of dieren zijn geen persoonsgegevens volgens de AVG en vallen dus buiten het toepassingsgebied van de AVG. Op die gegevens kunnen wel andere wet- en regelgevingen van toepassing zijn.
Bijzondere categorieën
Sommige persoonsgegevens vallen onder de zogenaamde 'bijzondere categorieën'. Het gaat dan om persoonsgegevens waaruit bepaalde gevoelige informatie kan worden afgeleid. Er is daarom sprake van een verhoogd risico bij het verwerken van zulke gegevens, want er is mogelijk een grotere impact op de rechten en vrijheden van de betrokkene(n). Bijzondere categorieën van persoonsgegevens (gevoelige persoonsgegevens) zijn die waaruit je de volgende zaken kan afleiden:
- ras of etnische afkomst,
- politieke opvattingen,
- religieuze of levensbeschouwelijke overtuigingen,
- het lidmaatschap van een vakbond,
- genetische gegevens,
- biometrische gegevens,
- gegevens over gezondheid, of
- iemands seksueel gedrag of gerichtheid.
Gepseudonimiseerde persoonsgegevens
Gepseudonimiseerde persoonsgegevens zijn persoonsgegevens die je op zodanige wijze verwerkt dat je ze niet meer aan een specifieke betrokkene kan koppelen zonder dat je aanvullende gegevens gebruikt (in de vorige Privacywetgeving werd dat als ‘coderen’ aangeduid). Het is daarbij belangrijk om die aanvullende gegevens apart te bewaren en de nodige technische en organisatorische maatregelen te nemen zodat dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon kunnen worden gekoppeld.
Gepseudonimiseerde persoonsgegevens blijven wel degelijk persoonsgegevens die beschermd worden door de AVG. Het criterium is in dat geval niet de vraag of uit de gepseudonimiseerde dataset blijkt wie welke persoon is, maar of je de gegevens – al dan niet met aanvullende informatiebronnen – tot een identificeerbare natuurlijk persoon kan herleiden.
Bij onderzoek wordt het pseudonimiseren typisch bekomen door alle identificeerbare elementen te ‘verdoezelen’ (verwijderen, vervangen, generaliseren, …) en waar mogelijk uit de onderzoeksdata af te zonderen in een apart sleutelbestand dat je beveiligd op een aparte plaats bewaart. Indien nodig bevatten zowel het sleutelbestand als de onderzoeksdata een unieke maar willekeurige code waardoor je de betrokkenen kan koppelen aan de gepseudonimiseerde onderzoeksgegevens.
Geanonimiseerde persoonsgegevens
Bij geanonimiseerde persoonsgegevens werd door middel van een verwerkingstechniek de mogelijkheid tot identificatie ‘onomkeerbaar’ verwijderd.
Net zoals bij gepseudonimiseerde persoonsgegevens speelt hier de vraag of de gegevens te relateren zijn aan een geïdentificeerde of identificeerbare persoon. Gegevens die met een redelijke inspanning niet terug te leiden zijn naar de oorspronkelijke individuen zijn anonieme gegevens. Gegevens die echter wel met een redelijke inspanning terug te leiden zijn naar de oorspronkelijke individuen zijn geen anonieme gegevens – ze zijn immers herleidbaar tot een identificeerbaar persoon. Ze blijven daarmee 'persoonsgegevens' in de zin van de AVG en die wetgeving is dus van toepassing op die gegevens.
Om die reden is het voor heel wat types onderzoeksdata (bv. kwalitatieve data, grote datasets met een breed scala aan persoonsgegevens, …) moeilijk om die echt te anonimiseren.
Let op: als je zelf persoonsgegevens anonimiseert, werk je bij aanvang en tijdens het anonimiseren uiteraard wél met identificeerbare persoonsgegevens en blijft de AVG van toepassing. Dat betekent dat je aan de vereisten van de AVG moet voldoen, startende met het registreren van je verwerkingsactiviteit.
Anonieme gegevens
Anonieme gegevens zijn gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon, of persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Gegevens zijn anoniem als niemand, op wat voor manier dan ook, de betrokken personen kan identificeren, dus het volstaat niet dat identificatie enkel onmogelijk is door jouw onderzoeksgroep.
Anonieme gegevens zijn geen persoonsgegevens en vallen niet onder het toepassingsgebied van de AVG.
Opgelet: zelfs als je enkel geanonimiseerde gegevens verwerkt, is het nog steeds belangrijk om de ethische aspecten omtrent het verzamelen of verwerken van die gegevens te evalueren.
Meer informatie
Meer tips
- AVG: hoe ben ik transparant ten aanzien van de betrokkenen van mijn onderzoek? (Integer onderzoek & ethiek)
- AVG: hoe beveilig ik mijn data op een correcte manier? (Integer onderzoek & ethiek)
- AVG: hoe lang mag ik onderzoeksdata met persoonsgegevens bewaren? (Integer onderzoek & ethiek)
- AVG: hoe registreer ik mijn verwerkingen van persoonsgegevens? (Integer onderzoek & ethiek)
- AVG: hoe zorg ik ervoor dat de verwerking van persoonsgegevens rechtmatig gebeurt? (Integer onderzoek & ethiek)
- AVG: Mag ik onderzoeksdata met persoonsgegevens delen met andere onderzoekers of instellingen wanneer mijn onderzoeksproject afgelopen is? (Integer onderzoek & ethiek)
- AVG: persoonsgegevens pseudonimiseren (Integer onderzoek & ethiek)
- AVG: waar moet ik aan denken als ik (online) surveytools gebruik? (Integer onderzoek & ethiek)
- AVG: Waar moet ik aan denken bij ontwikkelen of inzetten van apps voor onderzoek? (Integer onderzoek & ethiek)
- AVG: waar moet ik aan denken vooraleer ik bijzondere categorieën van persoonsgegevens verwerk? (Integer onderzoek & ethiek)
- AVG: waar moet ik aan denken wanneer ik gebruik maak van een mailinglijst/verzendlijst in het kader van mijn onderzoek? (Integer onderzoek & ethiek)
- AVG: waar moet ik aan denken wanneer ik persoonsgegevens verwerk van minderjarigen? (Integer onderzoek & ethiek)
- AVG: Waaraan moet ik denken bij de doorgifte van persoonsgegevens naar andere landen of internationale organisaties? (Integer onderzoek & ethiek)
- AVG: waaraan moet ik denken bij het design van mijn onderzoek? (Integer onderzoek & ethiek)
- AVG: Waaraan moet ik denken wanneer ik samenwerk met anderen of mijn data deel? (Integer onderzoek & ethiek)
- AVG: waarom is het belangrijk om mij te houden aan deze wetgeving? (Integer onderzoek & ethiek)
- AVG: wanneer is deze wetgeving van toepassing op mijn onderzoek? (Integer onderzoek & ethiek)
- AVG: Wanneer verwerk ik persoonsgegevens met een hoog risico en wanneer moet ik een GEB uitvoeren? (Integer onderzoek & ethiek)
- AVG: wat is de Algemene Verordening Gegevensbescherming? (Integer onderzoek & ethiek)
- AVG: wat moet ik doen bij een verdere/secundaire verwerking van persoonsgegevens? (Integer onderzoek & ethiek)
- AVG: Wat moet ik doen wanneer er sprake is van een datalek? (Integer onderzoek & ethiek)
- AVG: wat verandert er ten opzichte van de vorige privacywetgeving? (Integer onderzoek & ethiek)
- AVG: wat zijn de basisprincipes? (Integer onderzoek & ethiek)
- AVG: wat zijn de verschillende rollen en verantwoordelijkheden? (Integer onderzoek & ethiek)
- AVG: welke informatie moet ik opnemen in een informed consent formulier wanneer de verwerking van persoonsgegevens gebaseerd is op toestemming van de betrokkenen? (Integer onderzoek & ethiek)
- AVG: welke rechten hebben de betrokkenen, hoe respecteer ik deze en welke uitzonderingen kunnen gelden voor onderzoek? (Integer onderzoek & ethiek)
- AVG: wie wordt beschouwd als kwetsbare personen? (Integer onderzoek & ethiek)
- Qualtrics: hoe gebruik ik deze surveytool? (Integer onderzoek & ethiek)
Vertaalde tips
Laatst aangepast 21 oktober 2022 11:10