Privacy, de fundamenten: Persoonsgegevens

Show Notes

Wat zijn nou eigenlijk precies persoonsgegevens? Wat is het verschil tussen algemene persoonsgegevens en bijzondere persoonsgegevens? ​En hebben recente technologische en juridische ontwikkelingen invloed gehad op de definitie van persoonsgegevens? In deze aflevering gaan we hierop in met Friederike van der Jagt, advocaat bij Hunter Legal. 

Deze serie is mede mogelijk gemaakt door CIO Rijk.

Transcript

Voice-over: Dit is een podcast van het CIP, het Centrum voor Informatiebeveiliging en Privacybescherming.

Walter van Wijk: Deze podcast is onderdeel van een serie met als titel Privacy, de fundamenten. In deze aflevering gaan we in op persoonsgegevens. Te gast is Friederike van der Jagt, privacyadvocaat bij Hunter Legal. De Algemene Verordening Gegevensbescherming draait vooral om persoonsgegevens. Friederike, wat is daarvan in een notendop een definitie?

Friederike van der Jagt: Persoonsgegevens zijn alle gegevens die je direct of indirect kunt herleiden tot een natuurlijke, levende persoon. Die noemen we de betrokkene. Je kunt daarbij bijvoorbeeld denken aan iemands naam of mobiele telefoonnummer. Als ik een mobiel telefoonnummer zie staan, bijvoorbeeld van jou, Walter, weet ik niet meteen bij wie dat nummer hoort. Maar als ik het opbel en jou aan de telefoon krijg, kan ik dat mobiele nummer aan jou koppelen. Ook als je bijvoorbeeld opnames maakt met een deurbelcamera - je hebt zo'n deurbel van Ring - verwerk je daarbij vaak persoonsgegevens, omdat je mensen in beeld brengt die langs die deurbelcamera lopen of bij jou aanbellen. Misschien neem je ook stemmen op. Dat zijn allemaal persoonsgegevens.

Walter van Wijk: En een BSN?

Friederike van der Jagt: Een BSN is ook een persoonsgegeven. Dat zegt iets over jou. Jouw burgerservicenummer is uiteindelijk herleidbaar tot jou. Het is belangrijk dat het begrip persoonsgegeven heel ruim wordt uitgelegd. Ook IP-adressen of online identifiers die verzameld worden als er cookies worden geplaatst op een website zien wij als persoonsgegevens. Het gaat om alle informatie over geïdentificeerde of identificeerbare natuurlijke personen. Een definitie vind je terug in artikel 4, aanhef, en onder lid 1 van de AVG. Daarin staat: "Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator, zoals een naam, een identificatienummer" - dat BSN dat je net noemde - locatiegegevens, een online identificator - een identifier, de dingen die we via de cookies verzamelen - "of een of meer elementen die kenmerkend zijn voor iemands fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit."

Walter van Wijk: Dat is een hele mond vol.

Friederike van der Jagt: Zeker.

Walter van Wijk: Geldt dat ook voor kentekens van auto's?

Friederike van der Jagt: Bij kentekens van auto's kun je er uiteindelijk vaak achter komen wie de bezitter is van die auto. Via het RDW kan je dat checken. Je kan er niet zomaar bij, maar op die manier kun je met een paar stappen op een rechtmatige manier bij de identiteit van die eigenaar komen. Dat is iets moois wat terug te vinden is in overweging 26 bij de AVG. Daarin staat wanneer het identificeerbaar is. Je moet rekening houden met alle middelen waarvan je redelijkerwijs kunt verwachten dat de verwerkingsverantwoordelijke die kan gebruiken om iemand te identificeren. Dat zijn alle objectieve factoren. Je moet dus ook kijken naar kosten, tijd die nodig is voor die identificatie en welke technologie er beschikbaar is.

Friederike van der Jagt: Het Hof van Justitie heeft eerder geoordeeld dat het niet redelijkerwijs te verwachten is dat er een middel wordt gebruikt om iemand te identificeren dat bij wet verboden of in de praktijk eigenlijk ondoenlijk is, bijvoorbeeld als het excessief veel tijd of inspanning kost om tot identificatie over te gaan. Van die gevallen, waar de enige manier om iemand te identificeren bijvoorbeeld het hacken is - iets onrechtmatigs - zeggen we: het gevaar op identificatie is in werkelijkheid onbeduidend. Daar hoef je dan niet al rekening mee te gaan houden.

Walter van Wijk: We hebben het hier over algemene persoonsgegevens, maar er bestaat ook nog zoiets als bijzondere persoonsgegevens. Zou je daar wat over kunnen vertellen?

Friederike van der Jagt: Zeker. Er zijn persoonsgegevens waarvan wij denken en vinden dat als je die verwerkt, er grotere risico's zijn op bijvoorbeeld discriminatie of uitsluiting. Die persoonsgegevens vind je terug in artikel 9, lid 1 van de AVG. Je kunt bijvoorbeeld denken aan gezondheidsgegevens of gegevens over iemands ras. In beginsel zeggen we: het is verboden om die gegevens te verwerken. In de praktijk is het soms nodig om die gegevens te verwerken. Een ziekenhuis moet nu eenmaal gezondheidsgegevens verwerken. Daarom bevat de wet heel veel uitzonderingen die het alsnog mogelijk maken om die gegevens te mogen verwerken.

Walter van Wijk: Toen de AVG in 2018 van kracht werd, was de technologische en juridische status op dat moment wat hij was. Inmiddels zijn we zeven jaar verder. Wat is er door de technologische ontwikkelingen, maar ook door rechterlijke uitspraken, door jurisprudentie, gewijzigd in de definitie van persoonsgegevens?

Friederike van der Jagt: Ik denk dat er niet zozeer iets gewijzigd is. Ik denk dat de uitleg ervan breed was en steeds breder is gebleken. Dat zien we steeds vaker. Zo'n IP-adres is gewoon een persoonsgegeven. Dat komt uit het Breyer-arrest. Zelfs dynamische IP-adressen kunnen persoonsgegevens zijn, mits je het kunt herleiden tot een natuurlijke, levende persoon en dat geen onevenredige inspanning vergt. Een ander punt dat speelt, is dat er soms wordt beweerd dat gegevens volledig anoniem zijn. Je vult ergens een enquête in en dan staat er: "Wij waarderen uw privacy. Wij respecteren die en verwerken uw persoonsgegevens volledig anoniem." Volledig anonieme gegevens zijn geen persoonsgegevens meer. Je moet dan altijd een beetje alert zijn.

Friederike van der Jagt: Vaak is er meer sprake van pseudonimisering dan van anonimisering. Het is steeds makkelijker om gegevens toch te ontsleutelen bijvoorbeeld en weer bij de brongegevens terecht te komen. Dat zijn dan geen anonieme gegevens, maar gepseudonimiseerde gegevens. Een ander punt waar we ontwikkeling in hebben gezien, is de misvatting dat zakelijke persoonsgegevens geen persoonsgegevens zouden zijn. Wat bedoel ik daarmee? Bijvoorbeeld zakelijke mailadressen. Er wordt nog wel eens gedacht - en ik denk dat die misvatting langzaam verdwijnt - dat zakelijke gegevens niet privé zijn. Dat moet je toch gewoon kunnen verwerken? Een zakelijk e-mailadres, bijvoorbeeld jan.jansen@XBV.nl, is herleidbaar tot die Jan Jansen die werkt bij X BV en is dus een persoonsgegeven.

Friederike van der Jagt: Dat is anders als het een mailadres betreft van het type info@XBV.nl. Daarnaast is het belangrijk dat gegevens van rechtspersonen in beginsel geen persoonsgegevens zijn, tenzij ze te herleiden zijn tot de natuurlijke persoon die daar werkzaam is. Een bedrijfsnaam is in beginsel geen persoonsgegeven. Bij een eenmanszaak kan dat wel het geval zijn. De contactgegevens van de bestuurder zijn wel persoonsgegevens. De rechtspersoon zelf is geen persoonsgegeven.

Walter van Wijk: Er is een recente golf van ontwikkelingen onder de gevleugelde naam Privacy Enhancing Technologies. Daarin vinden encryptie en allerlei andere technologische dingen plaats. Hoe zit dat met persoonsgegevens die door encryptie zijn versleuteld?

Friederike van der Jagt: Daarvan is de vraag: kunnen die weer worden ontsleuteld? We hebben de HoNOS-uitspraak gezien. Daar zag je dat de rechtbank worstelde met het verschil tussen encrypten en hashen. Je moet heel erg goed kijken of er mogelijkheden zijn, die geen onevenredige inspanning vergen, die het alsnog mogelijk maken om die gegevens te herleiden tot de natuurlijke persoon. Versleutelen is een beveiligingsmaatregel, maar leidt niet tot het feit dat het geen persoonsgegevens meer zouden zijn. Een andere misvatting - nu we toch bezig zijn - is de gedachte: gegevens zijn openbaar en daarom zijn het geen persoonsgegevens. Gegevens die op een website staan - bijvoorbeeld wanneer een werkgever op de website een pagina heeft met iedereen die daar werkt met wat gegevens - zijn openbare gegevens, maar ze zijn herleidbaar tot natuurlijke personen.

Friederike van der Jagt: Dat is juist de bedoeling. Het is vaak de contactpagina. Dat zijn nog steeds persoonsgegevens. Waarom is dat van belang? Omdat die mailadressen die de werkgever op de website publiceert, bedoeld zijn om contact op te nemen met die personen voor werkgerelateerde doeleinden. Dat betekent niet dat die gegevens zomaar gebruikt mogen worden om op een mailinglijst te plaatsen. Omdat het persoonsgegevens zijn, vallen ze binnen de bescherming van de AVG.

Walter van Wijk: Ter afronding van deze video: wat betekent dit in de praktijk voor privacyprofessionals?

Friederike van der Jagt: In de praktijk betekent het dat je ervan uit moet gaan dat een gegeven al heel snel een persoonsgegeven kan zijn. Ook dat soort online identifiers bij cookie-toepassingen leiden al heel snel tot het verwerken van persoonsgegevens. Dat betekent dat je kritisch moet zijn op allerlei partijen die je tools beloven die volledig anonieme gegevensverwerking garanderen. Dat is vaak niet zo. Stel kritische vragen daarover. Denk door als je een lijstje data krijgt. Zou dit misschien een persoonsgegeven kunnen zijn? Ook als je bestanden verstuurt, is alleen het weghalen van namen of functietitels vaak niet voldoende om te kunnen zeggen dat je geen persoonsgegevens verwerkt. Dus let vooral goed op.

Walter van Wijk: Helder. Ik wil je heel hartelijk danken, Friederike, voor dit korte resumé en de heldere uitleg hierover.

Friederike van der Jagt: Heel graag gedaan.

Walter van Wijk: Beluister ook de andere afleveringen, waarin we aandacht besteden aan onderwerpen als verwerkingsverantwoordelijkheid, DPIA, verwerkingsregister, datalekken, inzagerechten en meer. Deze serie is geproduceerd door CIP, het Centrum Informatiebeveiliging en Privacybescherming, en werd mede mogelijk gemaakt door CIO Rijk.

Voice-over: Je luisterde naar een podcast van het CIP. Wij ontwikkelen en delen kennis op het gebied van informatieveiligheid. Meer daarover kun je vinden op onze website cip-overheid.nl. Tot de volgende keer!