Toch is dit niet een eenvoudig te beantwoorden vraag. Een geboortedatum is namelijk een sterk identificerend persoonsgegeven. In combinatie met de volledige naam is dit iets wat de basis is van veel sociale hackpogingen.
Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Er kan ook sprake zijn van indirecte persoonsgegevens. Het gaat dan om gegevens die in combinatie met andere gegevens iets zeggen over een persoon.
Voorbeelden: naam- en adresgegevens, e-mailadressen, pasfoto's, vingerafdrukken en IP-adressen. Ook gegevens die een waardering over een persoon geven, zoals iemands IQ, zijn persoonsgegevens. Het term datasubject wordt gebruikt voor de persoon van wie gegevens worden verzameld, bewerkt, gebruikt en verspreid.
Bijzondere persoonsgegevens zijn gevoelige gegevens, zoals informatie over iemands godsdienst, gezondheid of strafrechtelijke verleden, die volgens de privacywetgeving extra bescherming verdienen.
Schendingen van het recht op privacy zijn bijvoorbeeld onwettige huisvredebreuk en huiszoeking, onwettige persoonsregistratie en het onwettig afluisteren van iemands telefoongesprekken.
Denk aan voornaam, achternaam, geslacht, geboortedatum, geboorteplaats, straatnaam, postcode, woonplaats, telefoonnummer (mobiel en vast), en e-mailadres. Een BSN mag alleen door overheidsinstanties gebruikt worden en door organisaties buiten de organisatie als dat in een wet staat.
Zo kan een schoenmaat, een hobby of een foto geclassificeerd worden als persoonsgegeven indien het mogelijk is om een individu met deze informatie te identificeren. Belangrijk is dat het niet per se de databeheerder zelf (de organisatie die de persoonsgegevens verwerkt) hoeft te zijn die de identificatie kan maken.
Onder directe persoonsgegevens vallen onder andere iemands geboortedatum, voor- en achternaam, geslacht, adres, pasfoto, telefoonnummer, e-mailadres, burgerservicenummer (BSN), bankrekeningnummer en patiëntendossier.
Persoonsgegevens zoals ras, lengte, gewicht en DNA zijn bijzondere persoonsgegevens. Psychologische gegevens kunnen dit ook zijn. Het verwerken van deze bijzondere persoonsgegevens is in principe verboden op grond van de Wbp (artikel 16).
Kortom: informatie die of direct over een persoon gaat, of informatie die naar een persoon te herleiden is. Naam en adres zijn voor de hand liggende persoonsgegevens, maar ook een kenteken of een IP-adres is een persoonsgegeven. Gegevens van overleden personen zijn geen persoonsgegevens volgens de AVG.
Bij persoonsgegevens gaat het om alle informatie over een persoon. Ook gegevens die indirect iets over iemand zeggen, zijn persoonsgegevens.
Zowel het invoeren van een wachtwoord, het controleren van het wachtwoord, als het hashen van een wachtwoord betreft dus een verwerking van persoonsgegevens.
Naast 'gewone' persoonsgegevens zijn er ook bijzondere persoonsgegevens. Deze gaan bijvoorbeeld over iemands gezondheid, strafrechtelijke verleden of politieke voorkeur. Het is verboden om bijzondere persoonsgegevens te gebruiken, tenzij je een wettelijke uitzondering hebt.
Een organisatie mag niet zomaar persoonsgegevens doorgeven aan personen of andere organisaties. De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Of dit het geval is, hangt af van de concrete omstandigheden.
Persoonsgegevens die door hun aard bijzonder gevoelig zijn, krijgen extra bescherming in de Algemene verordening gegevensbescherming (AVG). Onder deze gegevens vallen ook genetische gegevens en biometrische gegevens als deze herleidbaar zijn tot een persoon.
Direct herleidbare gegevens, zijn gegevens die de identiteit van een persoon zonder veel omwegen kan vaststellen. Deze gegevens zijn in bepaalde mate uniek waardoor ze een individu met bepaalde zekerheid kunnen identificeren. Hieronder vallen gegevens zoals naam, adres, geboortedatum en de combinatie van deze gegevens.
Directe persoonsgegevens
Naam, adresgegevens en geslacht. Dit zijn persoonsgegevens die duidelijke informatie geven over een bepaald persoon. Het betreft feitelijke informatie.
Een persoonsgegeven is namelijk niet alleen iemands naam, of iemand zijn/haar e-mailadres. Het begrip persoonsgegeven omvat veel meer gegevens, de AVG het definieert het begrip: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
Sollicitatiebrieven, - formulieren, correspondentie over de sollicitatie, getuigschriften en verklaring omtrent gedrag (VOG's) mag je maximaal 4 weken bewaren na beëindiging van de sollicitatieprocedure. Heb je toestemming van de sollicitant? Dan mag je de set maximaal 1 jaar bewaren.
Kentekens van motorvoertuigen zijn in elk geval persoonsgegevens voor degenen die toegang hebben tot het kentekenregister van de Rijksdienst voor het Wegverkeer.
Het is toegestaan om persoonsgegevens van betrokkenen (in deze werknemers) te verzamelen als daarvoor een wettelijke grondslag is. Gegevens over salaris, onkostenvergoedingen en de afgedragen loonbelasting/premie volksverzekeringen zijn bijvoorbeeld nodig voor de uitvoering van de arbeidsovereenkomst.
Informatie over iemands ras, politieke voorkeur, seksuele geaardheid, godsdienst en vakbondslidmaatschap hoort bijvoorbeeld niet thuis in het personeelsdossier. Ook is het verboden om medische gegevens op te nemen. De verslagen van functionerings- en beoordelingsgesprekken mag je in een personeelsdossier bewaren.
Bescherming privacy bij gebruik persoonsgegevens
Iedereen mag organisaties op de naleving van de AVG aanspreken. De maximale boete is € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet als het om een grote onderneming gaat.
Een e-mailadres is een persoonsgegeven, wanneer deze bij een specifiek persoon hoort. Bijvoorbeeld omdat de naam van de persoon erin verwerkt zit, maar ook het [email protected] adres als het een e-mailadres van ZZP'er is, die zelf dat e-mailadres beheert.