AVG: wat zijn persoonsgegevens?
Persoonsgegevens
De Europese wet die bekend staat als de “AVG”, is van toepassing op het gebruiken van persoonsgegevens. De vraag wanneer gegevens wel of niet “persoonsgegevens” zijn in de zin van deze wet is daarom van groot belang.
Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd. Informatie die op het eerste gezicht niet herleidbaar lijkt tot een persoon, kan dus volgens de definitie van de AVG wel degelijk een persoonsgegeven zijn. Dit kan zo zijn als de informatie herleidbaar is tot de persoon in kwestie, bv. door de gegevens te combineren met andere, of aanvullende, gegevens.
- Enkele voorbeelden van 'gewone' persoonsgegevens zijn: naam, adres, e-mailadres, foto, ID-nummer, IP-adres, personeelsnummer, privé of professioneel telefoonnummer (wie-is-wie), login-gegevens, identificatiecookies, rekeningnummer, CV, loggegevens ( o.m. cafetaria, parkinggebruik, webgebruik, surfgedrag), camerabeelden, personeelsbestanden, loongegevens, professionele uitgaven,…
- Opgelet: ook gegevens die op het eerste zicht niet direct tot (identificatie van) een persoon leiden, kunnen persoonsgegevens zijn. Zo zijn bijvoorbeeld gegevens over iemands reactietijden op een taak, hersenactiviteit (bv. EEG), bloedsuikerspiegel, persoonlijkheid, huidgeleiding en hartslag ook (gevoelige) “persoonsgegevens” wanneer er óók informatie bestaat die deze gegevens (al dan niet gepseudonimiseerd) aan de natuurlijke persoon linkt (zie ook hieronder bij Gepseudonimiseerde en Geanonimiseerde gegevens).
Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens volgens de Algemene Verordening Gegevensbescherming (AVG) en vallen dus buiten het toepassingsgebied van de AVG. Op deze gegevens kunnen evenwel andere wet- en regelgevingen van toepassing zijn.
Bijzondere categorieën van persoonsgegevens (gevoelige persoonsgegevens)
Bijzondere categorieën van persoonsgegevens (gevoelige persoonsgegevens) zijn persoonsgegevens die de volgende informatie bevatten of omvatten:
- ras
- etnische afkomst
- politieke opvattingen
- religieuze of levensbeschouwelijke overtuigingen
- het lidmaatschap van een vakbond
- genetische gegevens
- biometrische gegevens
- gegevens over gezondheid
- gegevens over iemands seksueel gedrag of seksuele geaardheid
Indien deze informatie publiek beschikbaar wordt, bijvoorbeeld als gevolg van een datalek, kan dit zeer nadelige gevolgen hebben voor de betrokkenen.
Genetische gegevens
Genetische gegevens zijn persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon en die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon.
Biometrische gegevens
Biometrische gegevens zijn persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens.
Gegevens over gezondheid
Gegevens over gezondheid zijn persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven.
Gepseudonimiseerde persoonsgegevens
Gepseudonimiseerde persoonsgegevens zijn persoonsgegevens die werden gepseudonimiseerd (in de vorige Privacywetgeving werd dit als ‘coderen’ aangeduid). Het pseudonimiseren van persoonsgegevens betekent dat de deze op zodanige wijze worden verwerkt dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt. Het is hierbij belangrijk om deze aanvullende gegevens apart te bewaren en de nodige technische en organisatorische maatregelen te nemen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon kunnen worden gekoppeld.
Gepseudonimiseerde persoonsgegevens blijven wel degelijk persoonsgegevens die beschermd worden door de AVG. Het criterium is in dit geval niet de vraag of uit de gepseudonimiseerde dataset blijkt wie welke persoon is, maar of de gegevens – al dan niet met aanvullende informatiebronnen – tot een identificeerbare natuurlijk persoon herleidbaar zijn.
Bij onderzoek wordt het pseudonimiseren typisch bekomen door alle identificeerbare elementen te ‘verdoezelen’ (verwijderen, vervangen, generaliseren,…) en waar mogelijk uit de onderzoeksdata af te zonderen in een apart sleutelbestand dat beveiligd op een aparte plaats wordt bewaard. Indien nodig bevatten zowel het sleutelbestand als de onderzoeksdata een unieke maar willekeurige code waardoor de koppeling kan worden gemaakt tussen de betrokkenen en de gepseudonimiseerde onderzoeksgegevens.
Geanonimiseerde persoonsgegevens
Bij geanonimiseerde persoonsgegevens werd door middel van een verwerkingstechniek de mogelijkheid tot identificatie ‘onomkeerbaar’ verwijderd.
Net zoals bij gepseudonimiseerde persoonsgegevens speelt hier de vraag of de gegevens te relateren zijn aan een geïdentificeerde, of identificeerbare, persoon. Gegevens die met een redelijke inspanning terug te leiden zijn naar de oorspronkelijke individuen zijn geen anonieme gegevens. Gegevens die echter wel met een redelijke inspanning terug te leiden zijn naar de oorspronkelijke individuen zijn geen anonieme gegevens – ze zijn immers herleidbaar tot een identificeerbaar persoon. Ze blijven daarmee “persoonsgegevens” in de zin van de AVG en deze wetgeving is dus van toepassing op deze gegevens.
Om die reden is het voor heel wat types onderzoeksdata (bijvoorbeeld: kwalitatieve data, grote datasets met een breed scala aan persoonsgegevens,…) moeilijk om deze echt te anonimiseren.
Let op, indien je zelf persoonsgegevens anonimiseert, werk je bij aanvang en tijdens het anonimiseren uiteraard wél met identificeerbare persoonsgegevens en blijft de AVG van toepassing. Dit betekent dat je aan de vereisten van de AVG moet voldoen, startende met het registreren van je verwerkingsactiviteit.
Anonieme gegevens
Anonieme gegevens zijn gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon, of persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is (door geen enkel persoon op geen enkele wijze).
Anonieme gegevens zijn geen persoonsgegevens en vallen niet onder het toepassingsgebied van de AVG.
Opgelet: zelfs indien je enkel geanonimiseerde gegevens verwerkt, is het nog steeds belangrijk om de ethische aspecten omtrent het verzamelen of verwerken van deze gegevens te evalueren.
Meer informatie
Meer tips
- AVG: hoe ben ik transparant ten aanzien van de betrokkenen van mijn onderzoek? (Integer onderzoeken)
- AVG: hoe beveilig ik mijn data op een correcte manier? (Integer onderzoeken)
- AVG: hoe lang mogen onderzoeksdata met persoonsgegevens bewaard worden? (Integer onderzoeken)
- AVG: hoe registreer ik mijn verwerkingen van persoonsgegevens? (Integer onderzoeken)
- AVG: hoe zorg ik ervoor dat de verwerking van persoonsgegevens rechtmatig gebeurt? (Integer onderzoeken)
- AVG: Mag ik onderzoeksdata met persoonsgegevens delen met andere onderzoekers of instellingen wanneer mijn onderzoeksproject afgelopen is? (Integer onderzoeken)
- AVG: waar moet ik aan denken vooraleer ik bijzondere categorieën van persoonsgegevens verwerk? (Integer onderzoeken)
- AVG: Waar moet ik aan denken wanneer ik persoonsgegevens verwerk van minderjarigen? (Integer onderzoeken)
- AVG: Waaraan moet ik denken bij de doorgifte van persoonsgegevens naar andere landen of internationale organisaties? (Integer onderzoeken)
- AVG: waaraan moet ik denken bij het design van mijn onderzoek? (Integer onderzoeken)
- AVG: Waaraan moet ik denken wanneer ik samenwerk met anderen of mijn data deel? (Integer onderzoeken)
- AVG: waarom is het belangrijk om mij te houden aan deze wetgeving? (Integer onderzoeken)
- AVG: wanneer is deze van toepassing op mijn onderzoek? (Integer onderzoeken)
- AVG: Wanneer verwerk ik persoonsgegevens met een hoog risico en wanneer moet ik een GEB uitvoeren? (Integer onderzoeken)
- AVG: wat is de Algemene Verordening Gegevensbescherming? (Integer onderzoeken)
- AVG: wat moet ik doen bij een verdere/secundaire verwerking van persoonsgegevens? (Integer onderzoeken)
- AVG: Wat moet ik doen wanneer er sprake is van een datalek? (Integer onderzoeken)
- AVG: wat verandert er ten opzichte van de vorige privacywetgeving? (Integer onderzoeken)
- AVG: wat wordt beschouwd als kwetsbare personen? (Integer onderzoeken)
- AVG: wat zijn de basisprincipes? (Integer onderzoeken)
- AVG: wat zijn de verschillende rollen en verantwoordelijkheden? (Integer onderzoeken)
- AVG: welke informatie moet ik opnemen in een informed consent formulier wanneer de verwerking van persoonsgegevens gebaseerd is op toestemming van de betrokkenen? (Integer onderzoeken)
- AVG: welke rechten hebben de betrokkenen, hoe respecteer ik deze en welke uitzonderingen kunnen gelden voor onderzoek? (Integer onderzoeken)
Translated tip
Laatst aangepast 11 januari 2021 10:41