Persoonsgegevens: wat zijn het en hoe ga je ermee om?

persoonsgegevens

Persoonsgegevens zijn alle gegevens waarmee je iemand identificeert. Dat zijn natuurlijk iemands naam, geslacht en adresgegevens. Maar ook bijvoorbeeld locatiegegevens, etniciteit, cookies, gegevens over iemands gezondheid, seksuele voorkeuren, religieuze overtuigingen en politieke opvattingen vallen hieronder.
De Algemene Verordening Gegevensbescherming (AVG) staat vol met regels over persoonsgegevens. Ben je benieuwd welke dat zijn? En wil je weten of de regels uit de AVG over persoonsgegevens op jouw organisatie van toepassing zijn? Lees dan verder.

Wat zijn persoonsgegevens volgens de AVG?

Persoonsgegevens zijn volgens de privacywet dus alle gegevens om een natuurlijke persoon mee te identificeren. Kan je iemand identificeren door meerdere losse gegevens samen te voegen? Ook dan zijn dit persoonsgegevens volgens de AVG. De gegevens mogen dus direct over iemand gaan, maar ook indirect naar een natuurlijk persoon leiden.

Het kan zijn dat er gegevens over de identiteit van een persoon zijn verwijderd of versleuteld. Ook kan iemand een pseudoniem hebben aangenomen. Identificeer je iemand ook zonder die gegevens? Dan blijven het persoonsgegevens en is de AVG dus van toepassing.

Zijn de persoonsgegevens zo geanonimiseerd dat je er geen persoon meer mee identificeert? Dan zijn het geen persoonsgegevens meer. Is de anonimisering nog om te keren, dan blijven het dus wél persoonsgegevens.

De technologie die is gebruikt voor de verwerking van persoonsdata, is niet van belang. Kortom: de AVG is altijd van toepassing, of je nu geautomatiseerd of handmatig gegevens verwerkt. Ook de manier waarop een organisatie de persoonsgegevens verwerkt, is onbelangrijk. Van handgeschreven op papier tot videobeelden en van een ICT-systeem tot een Excel-sheet. In alle gevallen beschermt de AVG iemands persoonsgegevens.

Bedrijfsgegevens of gegevens over organisaties zijn volgens de AVG geen persoonsgegevens. Ook vallende gegevens van overleden personen niet onder de AVG.

Bijzondere persoonsgegevens

Een aantal persoonsgegevens heten in de privacywet bijzondere persoonsgegevens. Dat zijn bijvoorbeeld het ras, de godsdienst of de gezondheid van een persoon. De wetgever beschermt dit soort gegevens extra. Zo is het verboden om bijzondere persoonsgegevens te verwerken. Er zijn tien wettelijke uitzonderingen. Dit zijn:

  1. Uitdrukkelijk toestemming van de betrokkene.
  2. De noodzaak om aan verplichtingen te voldoen. Of om voor jouw bedrijf of de betrokkene specifieke rechten uit te oefenen. Het gaat hier om het arbeidsrecht, het socialezekerheidsrecht en het sociale beschermingsrecht.
  3. De noodzaak om de gezondheidsbelangen van de betrokkene of een ander persoon te beschermen. Een voorwaarde is dat de betrokken persoon fysiek of juridisch geen toestemming kan verlenen.
  4. Je bent een stichting, vereniging of andere instantie zonder winstoogmerk. En je werkt op het gebied van politiek, levensbeschouwing, godsdienst of vakbond. Het zijn persoonsgegevens van leden en oud-leden. Of het gaat om personen met wie je regelmatig contact hebt over het doel van je instantie. Ook moet je de gegevens verwerken voor activiteiten die zijn gerechtvaardigd. En heb je voor passende maatregelen gezorgd.
  5. De betrokkene heeft de persoonsgegevens zelf en doelbewust openbaar gemaakt.
  6. Het is noodzakelijk voor het instellen, uitoefenen of onderbouwen van een rechtsvordering. Of je bent rechtsbevoegd en handelt als gerecht.
  7. Er is een algemeen belang dat zwaar weegt.
  8. De noodzaak om preventief of (arbeids)geneeskundig doelen te bereiken. Denk aan het verlenen van gezondheidszorg. Ook het beoordelen van iemands arbeidsongeschiktheid valt hieronder.
  9. Een noodzaak voor de volksgezondheid.
  10. Een noodzaak om persoonsgegevens te archiveren. Dit moet zijn in het algemeen belang, voor wetenschappelijk of historisch onderzoek of om statistische doelen.

Voor de nummers twee en zeven tot en met tien geldt het volgende. Het mag alleen als je er iets over kan terugvinden in de wet. Verder moet er ook een grondslag voor de verwerking zijn. Zie meer daarover hieronder (‘Het verwerken van persoonsgegevens’).

Het verwerken van persoonsgegevens

Het verwerken van persoonsgegevens volgens de AVG komt neer op alles wat je met persoonsgegevens kan doen. Denk aan het verzamelen, kopiëren, opslaan, verwijderen, delen, bekijken, opvragen, bewerken, afschermen en structureren ervan. Een voorbeeld is het verzamelen van e-mailadressen, zodat je een nieuwsbrief kan verspreiden. Het bijhouden van een ledenadministratie en het opslaan van beveiligingsbeelden zijn andere vormen van verwerken. Maar ook iemands foto op een website publiceren of IP-adressen verzamelen.

Persoonsgegevens verwerken mag niet zomaar. In de AVG staan zes grondslagen. Als organisatie moet je je op minstens één daarvan kunnen beroepen:

  • iemand heeft toestemming gegeven voor het verwerken van zijn of haar persoonsgegevens. Die toestemming is vrijelijk gegeven, ondubbelzinnig, specifiek en geïnformeerd;
  • het is noodzakelijk om een overeenkomst uit te voeren;
  • je bent wettelijk verplicht om persoonsgegevens te verwerken. Een voorbeeld is dat de politie jou beveelt om gegevens te geven. Of je moet dat doen voor de Belastingdienst;
  • het is noodzakelijk om vitale belangen te beschermen. Kortom: het is nodig voor iemands leven of gezondheid. Als iemand bewusteloos is bijvoorbeeld. Of als er plotseling gevaar dreigt;
  • het is noodzakelijk omdat je een taak van algemeen belang uitvoert. Ook moet je misschien openbaar gezag uitoefenen. Dat is eventueel een reden om persoonsgegevens te verwerken. Een voorbeeld is een gemeente die camerabeelden verzamelt voor de openbare veiligheid;
  • het is noodzakelijk om een gerechtvaardigd belang te behartigen. Beroept de betrokkene zich ook op een grondrecht? Dan moet je jezelf afvragen welk belang zwaarder weegt.

Probeer AVG-support.nl 30 dagen gratis

Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.

  • toets je organisatie en neem noodzakelijke maatregelen
  • maak gebruik van alle juridische documenten
  • behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt

Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.

Veelgestelde vragen over persoonsgegevens

Wat zijn persoonsgegevens volgens het privacyrecht?

Persoonsgegevens zijn gegevens die informatie geven over een identificeerbare natuurlijke persoon, zoals naam, adres of telefoonnummer.

Hoe ga je om met persoonsgegevens als ondernemer?

Als ondernemer moet je persoonsgegevens juist en eerlijk verwerken. Zorg voor goede beveiliging en minimaliseer de hoeveelheid verzamelde persoonsgegevens. Informeer betrokkenen duidelijk over welke gegevens je verzamelt en waarom. Bewaar de gegevens niet langer dan nodig. Houd je aan de geldende privacywetgeving, zoals de AVG. Bescherming van persoonsgegevens helpt het vertrouwen van klanten te behouden en boetes en reputatieschade te voorkomen.

Moet je toestemming hebben om persoonsgegevens te verwerken?

Toestemming is één van de mogelijke rechtsgrondslagen om persoonsgegevens te verwerken, maar er zijn ook andere grondslagen mogelijk. Raadpleeg de privacywetgeving om te bepalen welke van toepassing is.

Meer nieuws

AVG voor webwinkels: privacy in de praktijk

Er gelden strenge regels voor webshops als het gaat om het verzamelen, verwerken en bewaren van persoonsgegevens. In dit artikel kijken we naar de belangrijkste eisen. Lees meer

Wat doet een Functionaris Gegevensbescherming?

Wat doet een Functionaris Gegevensbescherming eigenlijk, en waarom is het relevant voor ondernemers? In dit artikel gaan we dieper in op de rol van de FG. Lees meer

Wat zijn de plichten van de verwerker en de verwerkingsverantwoordelijke?

De verwerkersovereenkomst regelt de samenwerking tussen de verwerkingsverantwoordelijke en de verwerker. Maar wie heeft welke plichten? Lees meer