Persoonsgegevens AVG
Onder een persoonsgegeven wordt verstaan: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’ (artikel 4 lid 1 AVG).
Een persoon is geïdentificeerd wanneer zijn identiteit vastgesteld kan worden aan de hand van direct identificerende gegevens (met een geboortedatum van een persoon). Identificeerbaar betekent dat informatie ook als persoonsgegeven moet worden beschouwd wanneer het gegeven zonder veel inspanning alsnog aan een natuurlijk persoon kan worden gelinkt door bijvoorbeeld bepaalde gegevens aan elkaar te koppelen. Identificatie kan daarmee gebeuren aan de hand van bijvoorbeeld een naam, een identificatienummer, locatiegegevens of de fysieke, genetische, economische kenmerken van een persoon.
De volgende voorbeelden kunnen worden beschouwd als een persoonsgegeven:
- Naam van een persoon;
- Gezichtsafbeelding;
- BSN;
- E-mailadres of telefoonnummer;
- Vingerafdruk;
- IP-adres;
- WOZ-waarde van een huis.
Gegevens over objecten of organisaties zoals een algemeen telefoonnummer of e-mailadres zijn in principe geen persoonsgegevens. Meer informatie hierover staat in deze praktijkvraag.
Ook gegevens die in zulke mate zijn geanonimiseerd dat ze niet meer naar een natuurlijk persoon te herleiden zijn, worden niet meer als persoonsgegevens gezien. Anders is dit wanneer er sprake is van pseudonimisatie en een gegeven weer terug herleid zou kunnen worden naar een natuurlijk persoon.
Bijzondere persoonsgegevens AVG
In sommige gevallen is er sprake van een bijzonder persoonsgegeven. Dit zijn bijvoorbeeld persoonsgegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon en gegevens over gezondheid of seksuele geaardheid.
Volgens de AVG is het verwerken van bijzondere persoonsgegevens verboden, tenzij er een uitzondering op van toepassing is (artikel 9 AVG). Dit is bijvoorbeeld aan de orde als degene van wie de persoonsgegevens wordt verwerkt, de betrokkene, uitdrukkelijk toestemming voor de verwerking geeft. Er is ook sprake van een uitzondering wanneer de verwerking noodzakelijk is om bepaalde arbeidsrechtelijke verplichtingen uit te voeren.
Strafrechtelijke persoonsgegevens AVG
Artikel 10 van de AVG stelt dat persoonsgegevens rond strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen alleen mogen worden verwerkt onder toezicht van de overheid. Dit is ook mogelijk op basis van Unierechtelijke of lidstaatrechtelijke bepalingen. Richtlijn 2016/680 is van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.
Een buitengewoon opsporingsambtenaar kan in zijn werkzaamheden zowel met de AVG als Richtlijn 2016/680 te maken krijgen. Meer informatie hierover staat in deze praktijkvraag.
Hoe zorgen gemeenten ervoor dat de verwerking van persoonsgegevens door boa’s privacyproof is?
Verwerken van persoonsgegevens AVG
De AVG stelt regelgeving op voor het verwerken van persoonsgegevens. Het begrip ‘verwerken’ is erg ruim. Een verwerking van persoonsgegevens betekent namelijk alles wat je met deze persoonsgegevens doet.
Volgens de AVG is het verwerken van persoonsgegevens: ‘elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens’ (artikel 4 lid 2 AVG).
Verwerken van persoonsgegevens in de praktijk
In de praktijk kunt u bij het verwerken van persoonsgegevens bijvoorbeeld denken aan het opslaan of vernietigen van deze gegevens. Naast deze veelvoorkomende vormen van verwerken, is ook het verzamelen of doorsturen van persoonsgegevens een verwerking waarbij de regels van de AVG in acht moeten worden genomen.
Wanneer een gemeente bijvoorbeeld persoonlijke informatie van een burger verzamelt via het internet -ook al is dit openbaar-, worden persoonsgegevens geraadpleegd en is de AVG van kracht. Hierdoor moet er zorgvuldig worden omgegaan met deze persoonsgegevens. Een ander voorbeeld kan zijn wanneer een ontvangen e-mail van een burger binnen de eigen organisatie wordt doorgestuurd naar collega’s om de burger te helpen met zijn vraag of ter kennisname. Wanneer bijvoorbeeld de afzendgegevens van de burger nog in de oorspronkelijke e-mail staan, worden zijn persoonsgegevens doorgestuurd. Dit is dus een verwerking van persoonsgegevens, waardoor de AVG in acht moet worden genomen.
Deze voorbeelden laten goed zien dat decentrale overheden in de praktijk vaak persoonsgegevens verwerken. Maar hoe weten decentrale overheden zeker dat het verwerken van persoonsgegevens voldoet aan de regels van de AVG? Een verwerking is toegestaan wanneer er wordt voldaan aan de beginselen uit artikel 5 van de AVG: een verwerking moet rechtmatig, behoorlijk en transparant zijn. Ter aanvulling op de verwerkingsbeginselen van artikel 5 AVG gelden de eisen van subsidiariteit en proportionaliteit. Deze laatste eisen staan niet in de wet, maar zijn algemene rechtsbeginselen. Lees meer over rechtmatige verwerkingen.
Voor meer informatie over het zorgvuldig verwerken van persoonsgegevens door decentrale overheden kunt u terecht bij deze praktijkvraag.
