Persoonsgegevens zijn gegevens die herleidbaar zijn tot een natuurlijke persoon. Voorbeelden van persoonsgegevens zijn identificerende gegevens zoals uw burgerservicenummer en contactgegevens zoals uw naam en adres, maar ook gegevens over inkomen en vermogen.
De Algemene Verordening Gegevensbescherming (AVG) zorgt voor de bescherming van persoonsgegevens. Uw salaris- en personeelsadministratie staan vol met dergelijke gegevens.
Voorbeelden van persoonsgegevens
Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens.
Voorbeelden: naam- en adresgegevens, e-mailadressen, pasfoto's, vingerafdrukken en IP-adressen. Ook gegevens die een waardering over een persoon geven, zoals iemands IQ, zijn persoonsgegevens. Het term datasubject wordt gebruikt voor de persoon van wie gegevens worden verzameld, bewerkt, gebruikt en verspreid.
Dit zijn gegevens over iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gezondheidsgegevens en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Bij persoonsgegevens gaat het om alle informatie over een persoon. Ook gegevens die indirect iets over iemand zeggen, zijn persoonsgegevens.
Gegevens over organisaties, zoals rechtspersonen, verenigingen en stichtingen, zijn geen persoonsgegevens. Ook gegevens van overleden mensen vallen buiten de reikwijdte van de AVG. De AVG regelt wat er allemaal wel en niet mag met de persoonsgegevens van mensen.
Denk aan voornaam, achternaam, geslacht, geboortedatum, geboorteplaats, straatnaam, postcode, woonplaats, telefoonnummer (mobiel en vast), en e-mailadres. Een BSN mag alleen door overheidsinstanties gebruikt worden en door organisaties buiten de organisatie als dat in een wet staat.
Onder indirecte persoonsgegevens vallen gegevens die niet rechtstreeks over de persoon gaan, zoals WOZ-waarde, kentekennummer, de winst van een eenmanszaak en het IP-adres van een computer.
Naast 'gewone' persoonsgegevens zijn er ook bijzondere persoonsgegevens. Deze gaan bijvoorbeeld over iemands gezondheid, strafrechtelijke verleden of politieke voorkeur. Het is verboden om bijzondere persoonsgegevens te gebruiken, tenzij je een wettelijke uitzondering hebt.
Een persoonsgegeven zegt dus iets over een natuurlijk persoon. Het College Bescherming Persoonsgegevens (CBP) stelt daarom dat gegevens over organisaties, zoals bedrijven en stichtingen, geen persoonsgegevens zijn in de zin van de Wbp.
Persoonsgegevens die door hun aard bijzonder gevoelig zijn, krijgen extra bescherming in de Algemene verordening gegevensbescherming (AVG). Onder deze gegevens vallen ook genetische gegevens en biometrische gegevens als deze herleidbaar zijn tot een persoon.
Andere gegevens, zoals een functie of een IP-adres, zijn op het eerste gezicht geen gegevens waar een natuurlijk persoon direct of indirect mee kan worden geïdentificeerd. Ook in zo'n geval kan er echter sprake zijn van een persoonsgegeven.
Uw medewerkers hebben recht op een bepaalde mate van privacy op hun werk. Maar als werkgever heeft u het recht om controles uit te voeren bij een vermoeden van misbruik van e-mail, internet of telefoon door een of meerdere medewerkers.
Hier staan zaken als jouw volledige naam, adres, woonplaats en jouw burgerservicenummer. Het laatste is bijvoorbeeld in de vorm van een kopie van jouw paspoort of identiteitskaart. Ook houdt de werkgever bij hoeveel jij verdient, omdat deze informatie weer door moet naar de belastingdienst.
Informatie over iemands ras, politieke voorkeur, seksuele geaardheid, godsdienst en vakbondslidmaatschap hoort bijvoorbeeld niet thuis in het personeelsdossier. Ook is het verboden om medische gegevens op te nemen. De verslagen van functionerings- en beoordelingsgesprekken mag je in een personeelsdossier bewaren.
Een e-mailadres is een persoonsgegeven, wanneer deze bij een specifiek persoon hoort. Bijvoorbeeld omdat de naam van de persoon erin verwerkt zit, maar ook het [email protected] adres als het een e-mailadres van ZZP'er is, die zelf dat e-mailadres beheert.
Dit zijn bijvoorbeeld persoonsgegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon en gegevens over gezondheid of seksuele geaardheid.
Bijzondere categorieën van persoonsgegevens (gevoelige persoonsgegevens) zijn de volgende persoonsgegevens: persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gegevens ...
Als er door een internetdienst een koppeling kan worden gemaakt tussen een identiteit (een login naam bijvoorbeeld) en het IP-adres, is het IP-adres ook een persoonsgegeven.
Zo kan een schoenmaat, een hobby of een foto geclassificeerd worden als persoonsgegeven indien het mogelijk is om een individu met deze informatie te identificeren. Belangrijk is dat het niet per se de databeheerder zelf (de organisatie die de persoonsgegevens verwerkt) hoeft te zijn die de identificatie kan maken.
Persoonsgegevens zoals ras, lengte, gewicht en DNA zijn bijzondere persoonsgegevens. Psychologische gegevens kunnen dit ook zijn. Het verwerken van deze bijzondere persoonsgegevens is in principe verboden op grond van de Wbp (artikel 16).
Zowel het invoeren van een wachtwoord, het controleren van het wachtwoord, als het hashen van een wachtwoord betreft dus een verwerking van persoonsgegevens.
Kentekens van motorvoertuigen zijn in elk geval persoonsgegevens voor degenen die toegang hebben tot het kentekenregister van de Rijksdienst voor het Wegverkeer. Zij kunnen immers de tenaamstelling van het kenteken zonder bijzondere inspanning te weten komen.