gegevens over iemands gezondheid;gegevens over iemands seksueel gedrag of seksuele gerichtheid;genetische gegevens;biometrische gegevens (bedoeld voor de unieke identificatie van een persoon).
Kortom: informatie die of direct over een persoon gaat, of informatie die naar een persoon te herleiden is. Naam en adres zijn voor de hand liggende persoonsgegevens, maar ook een kenteken of een IP-adres is een persoonsgegeven. Gegevens van overleden personen zijn geen persoonsgegevens volgens de AVG.
Zo kan bijvoorbeeld een telefoonnummer worden aangemerkt als een direct identificeerbaar gegeven. Indirect identificeerbare gegevens kunnen zijn ontdaan van de naam, doch onder omstandigheden door combinatie met andere gegevens weer worden teruggebracht tot een bepaalde persoon.
Dit zijn gegevens over iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gezondheidsgegevens en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Bij persoonsgegevens (ook wel identiteitsgegevens genoemd) gaat het om alle informatie over een persoon. Zoals je naam, geboortedatum en burgerservicenummer (BSN). Je persoonsgegevens zijn beschermd.
Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare levende natuurlijke persoon.
“Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare levende natuurlijke persoon.” Wanneer een persoon dus geïdentificeerd is (bv. je weet de naam van de persoon), dan zijn alle gegevens die je verzamelt met betrekking tot deze persoon, persoonsgegevens.
Organisaties mogen niet zomaar persoonsgegevens verstrekken (doorgeven) aan andere organisaties of personen. De algemene regel is dat dit alleen mag als het verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Of dit zo is, hangt af van de concrete omstandigheden. Dat kan dus per situatie verschillen.
Denk aan voornaam, achternaam, geslacht, geboortedatum, geboorteplaats, straatnaam, postcode, woonplaats, telefoonnummer (mobiel en vast), en e-mailadres.
Onder directe persoonsgegevens vallen onder andere iemands geboortedatum, voor- en achternaam, geslacht, adres, pasfoto, telefoonnummer, e-mailadres, burgerservicenummer (BSN), bankrekeningnummer en patiëntendossier.
Uit bovenstaande is op te maken dat ook een mailadres van een medewerker, privé en zakelijk, een persoonsgegeven is volgens de AVG. Daarmee valt het verwerken en gebruiken van mailadressen dus ook onder de regels van de AVG.
Dat het om een natuurlijke persoon moet gaan, betekent dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn. Voorbeelden van gewone persoonsgegevens zijn: naam, adres, postcode, telefoonnummer, e-mailadres en IP-adres.
Indirect herleidbare persoonsgegevens zijn gegevens die weliswaar niet direct naar een persoon herleiden, maar in combinatie met andere gegevens dit wel doen. Aan de hand van enkel een postcode weet je niet bij welke persoon deze hoort, maar in combinatie met een huisnummer of telefoonnummer kun je dit wel achterhalen.
Een gezichtsafbeelding is een biometrisch persoonsgegeven. Als een biometrisch persoonsgegeven wordt gebruikt om iemand uniek te identificeren, is het een bijzonder persoonsgegeven. Met camera's met gezichtsherkenning verwerkt u dus bijzondere persoonsgegevens.
Zowel het invoeren van een wachtwoord, het controleren van het wachtwoord, als het hashen van een wachtwoord betreft dus een verwerking van persoonsgegevens. Van belang is wel dat er enige feitelijke macht moet kunnen worden uitgevoerd over die gegevens.
Sommige persoonsgegevens mag je beslist niet vastleggen. Informatie over iemands ras, politieke voorkeur, seksuele geaardheid, godsdienst en vakbondslidmaatschap hoort bijvoorbeeld niet thuis in het personeelsdossier. Ook is het verboden om medische gegevens op te nemen.
Wie mogen mijn gegevens in de Basisregistratie Personen (BRP) inzien? Naast een aantal soorten organisaties, zoals de Belastingdienst, mag uzelf uw persoonsgegevens in de Basisregistratie Personen (BRP) inzien. Ouders of verzorgers met ouderlijk gezag hebben inzage in gegevens van hun minderjarige kinderen.
Voorbeelden van bijzondere persoonsgegevens zijn gegevens die iets zeggen over iemands gezondheid, ras, godsdienst, strafrechtelijk verleden of seksuele leven. Ook een lidmaatschap van een vakvereniging is een bijzonder persoonsgegevens.
Het wordt strafbaar om persoonsgegevens van een ander te delen met de bedoeling om diegene te intimideren. De Eerste Kamer heeft het wetsvoorstel aangenomen om het gebruik van persoonsgegevens voor intimiderende doeleinden – ook wel doxing genoemd - strafbaar te stellen.
Wie heeft toegang tot de BRP? Deze gegevens worden door de gemeente verzameld. De gemeente verstrekt ze veelal automatisch aan overheidsinstanties en aan enkele bijzondere maatschappelijke instellingen zoals pensioenfondsen (voor zover dat noodzakelijk is voor de uitvoering van hun wettelijke taken).
Volgens de AVG mag u persoonsgegevens niet langer bewaren dan nodig voor het doel waarvoor u ze heeft verzameld. Daarna moet u de gegevens vernietigen.