Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare levende natuurlijke persoon. Losse gegevens die samengevoegd kunnen leiden tot de identificatie van een bepaalde persoon vormen ook persoonsgegevens.
Dit zijn gegevens over iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gezondheidsgegevens en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Bij persoonsgegevens gaat het om alle informatie over een persoon. Ook gegevens die indirect iets over iemand zeggen, zijn persoonsgegevens.
Onder indirecte persoonsgegevens vallen gegevens die niet rechtstreeks over de persoon gaan, zoals WOZ-waarde, kentekennummer, de winst van een eenmanszaak en het IP-adres van een computer.
Direct herleidbare gegevens, zijn gegevens die de identiteit van een persoon zonder veel omwegen kan vaststellen. Deze gegevens zijn in bepaalde mate uniek waardoor ze een individu met bepaalde zekerheid kunnen identificeren. Hieronder vallen gegevens zoals naam, adres, geboortedatum en de combinatie van deze gegevens.
Gegevens over organisaties, zoals rechtspersonen, verenigingen en stichtingen, zijn geen persoonsgegevens. Ook gegevens van overleden mensen vallen buiten de reikwijdte van de AVG. De AVG regelt wat er allemaal wel en niet mag met de persoonsgegevens van mensen.
Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Er kan ook sprake zijn van indirecte persoonsgegevens. Het gaat dan om gegevens die in combinatie met andere gegevens iets zeggen over een persoon.
Nee. Volgens de Algemene verordening gegevensbescherming (AVG) is het burgerservicenummer (BSN) geen bijzonder persoonsgegeven. In de Uitvoeringswet AVG (UAVG) wordt het BSN niet als bijzonder persoonsgegeven aangemerkt.
Denk aan voornaam, achternaam, geslacht, geboortedatum, geboorteplaats, straatnaam, postcode, woonplaats, telefoonnummer (mobiel en vast), en e-mailadres. Een BSN mag alleen door overheidsinstanties gebruikt worden en door organisaties buiten de organisatie als dat in een wet staat.
Kortom: informatie die of direct over een persoon gaat, of informatie die naar een persoon te herleiden is. Naam en adres zijn voor de hand liggende persoonsgegevens, maar ook een kenteken of een IP-adres is een persoonsgegeven. Gegevens van overleden personen zijn geen persoonsgegevens volgens de AVG.
Kentekens van motorvoertuigen zijn in elk geval persoonsgegevens voor degenen die toegang hebben tot het kentekenregister van de Rijksdienst voor het Wegverkeer.
' zijn persoonsgegevens (geslacht, aan-/afwezigheid van haar, haarkleur, kleur ogen, wel/geen oogafwijking (bril?)). Immers, door deze informatie te combineren kunnen we een persoon identificeren.
Een onderneming/organisatie mag niet zomaar persoonsgegevens verzamelen voor ongedefinieerde doeleinden („doelbinding”); de onderneming/organisatie mag alleen de persoonsgegevens verzamelen en verwerken die nodig zijn om dat doel te bereiken („minimale gegevensverwerking”);
Persoonsgegevens krijgen
Alleen organisaties met een publieke of maatschappelijke taak kunnen gegevens uit de BRP krijgen. De regels daarover staan in de Wet BRP. Deze organisaties krijgen alleen die gegevens die zij nodig hebben.
Zowel het invoeren van een wachtwoord, het controleren van het wachtwoord, als het hashen van een wachtwoord betreft dus een verwerking van persoonsgegevens.
Uitwisseling persoonsgebonden gegevens
Organisaties mogen uw BSN alleen gebruiken als het om de uitwisseling van persoonsgegevens gaat. Een organisatie mag uw BSN dus niet gebruiken als deze geen gegevens van u hoeft vast te leggen.
Omdat het BSN uniek is zijn de privacy risico's groot. Persoonsgegevens uit verschillende overheidsbestanden kunnen via het BSN eenvoudig worden gekoppeld. Bij onzorgvuldig gebruik van BSN's is het gevaar voor misbruik van gegevens en identiteitsfraude groot.
Een financiële onderneming, zoals uw creditcardmaatschappij of bank, mag vragen om een kopie, scan of foto van uw identiteitsbewijs. Maar dit hoeft geen 'schone' kopie, scan of foto te zijn.
Bescherming privacy bij gebruik persoonsgegevens
Iedereen mag organisaties op de naleving van de AVG aanspreken. De maximale boete is € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet als het om een grote onderneming gaat.
Andere gegevens, zoals een functie of een IP-adres, zijn op het eerste gezicht geen gegevens waar een natuurlijk persoon direct of indirect mee kan worden geïdentificeerd. Ook in zo'n geval kan er echter sprake zijn van een persoonsgegeven.
De wet onderscheidt bijzondere persoonsgegevens van gewone persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. Dergelijke gegevens mogen daarom alleen onder zeer strenge voorwaarden worden verwerkt.
Een persoonsgegeven zegt dus iets over een natuurlijk persoon. Het College Bescherming Persoonsgegevens (CBP) stelt daarom dat gegevens over organisaties, zoals bedrijven en stichtingen, geen persoonsgegevens zijn in de zin van de Wbp.
Verordening (EU) 2016/679 van het Europees Parlement en de Raad1, de nieuwe Algemene Verordening Gegevensbescherming ('AVG') van de Europese Unie ('EU'), regelt de verwerking van persoonsgegevens van natuurlijke personen in de EU door een natuurlijk persoon, een onderneming of een organisatie.