Misverstand: ‘dat zijn geen persoonsgegevens’

De AVG is kort gezegd van toepassing op alle verwerkingen van persoonsgegevens binnen de EU en/of van personen die zich in de EU bevinden. Hoewel steeds meer organisaties zich bewust zijn van de noodzaak om te voldoen aan de daarmee gepaard gaande regels, gebeurt het nogal eens dat bij het in kaart brengen van de benodigde acties verwerkingsactiviteiten worden vergeten. Soms gebeurt dat simpelweg omdat men niet goed voor ogen heeft dat het begrip ‘persoonsgegevens’ buitengewoon breed is.

Wat zijn persoonsgegevens?

Het begrip ‘persoonsgegevens’ omvat alle informatie die direct of indirect herleidbaar is tot een natuurlijke persoon. De wettekst (die ik hier omwille van het leesgemak niet herhaald heb) is zodanig ruim geformuleerd dat daaronder vrijwel alle data vallen die op een of andere wijze met natuurlijke personen te maken heeft. Zo zijn niet alleen gegevens als namen, telefoonnummers en woonadressen persoonsgegevens, maar ook bijvoorbeeld gegevens over iemands interesses, gedrag en locatie. De informatie hoeft niet als zodanig te worden vastgelegd: is dit op enige manier af te leiden uit de verwerkte informatie, dan is er daarmee al sprake van een verwerking van persoonsgegevens. ‘Verwerking’ is in de AVG ook erg ruim geformuleerd – dit is vrijwel alles wat je met de persoonsgegevens kunt doen. De AVG is dan ook al snel van toepassing.

Reikwijdte persoonsgegevens

In de praktijk blijkt het misverstand vaak te zien op de reikwijdte van het begrip ‘persoonsgegevens’ (en bijbehorende ‘herleidbaarheid’). Vrijwel iedereen beseft zich dat als bepaalde informatie over  een persoon bewust wordt vastgelegd, daarmee sprake is van een verwerking van die persoonsgegevens. Wat men zich soms echter niet realiseert, is dat bepaalde  gegevens die op zichzelf geen persoonsgegevens hoeven te zijn, in combinatie met andere gegevens weer (nieuwe) persoonsgegevens kunnen vormen.

Een voorbeeld: een websiteaanbieder registreert het IP-adres van een websitebezoeker. Dit is een verwerking van persoonsgegevens. De websiteaanbieder ziet ook hoe lang elke webpagina met het IP-adres wordt bezocht.  Op basis van die informatie (verzameld van tal van websitebezoekers) wordt de website zo nu en dan aangepast. De websiteaanbieder stelt enkel het IP-adres te verwerken, en vermeldt dit keurig in haar register van verwerkingsactiviteiten en privacyverklaring. Voldoet zij daarmee aan de AVG?

Welnu: nee. Nog daargelaten of aan alle andere vereisten uit de AVG wordt voldaan, geldt dat de websiteaanbieder ook informatie verwerkt over de interesses van de websitebezoeker – nu duidelijk is hoe lang met elk IP-adres welke pagina’s bezocht worden en op basis daarvan conclusies worden getrokken over de mate waarin de webpagina’s voor de verschillende IP-adressen interessant waren. Ook voor die persoonsgegevens (over de interesses van websitebezoekers) zal door alle ‘AVG-hoepels’ moeten worden gesprongen: er moet sprake zijn van een rechtmatig doel, een verwerkingsgrondslag, de betrokkene moet worden geïnformeerd over de verwerking van deze persoonsgegevens, de verwerkingsactiviteit moet worden opgenomen in het register van verwerkingsactiviteiten, enzovoort.

Bijzondere persoonsgegevens

Dat al snel sprake is van een verwerking van (aanvullende) persoonsgegevens, is vooral van belang waar het gaat om bijzondere persoonsgegevens. Dit zijn gegevens over iemands  ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gezondheidsgegevens en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Er geldt een verbod op het verwerken van dergelijke gegevens, tenzij sprake is van een van de uitzonderingen op dit verbod. Het kan echter voorkomen dat men bijzondere persoonsgegevens verwerkt zonder zich daarvan bewust te zijn – met de nodige risico’s tot gevolg.

Een ander voorbeeld: een onderneming verwerkt locatiegegevens van klanten, in het kader van het aanbieden van een navigatie-app. Uit die locatiegegevens is af te leiden dat een betrokkene elke zondagochtend de lokale kerk of geregeld een moskee bezoekt. Het is zeer aannemelijk dat de geloofsovertuiging van de betrokkene aansluit bij die van de betreffende kerk of moskee – en daarmee zal al snel sprake zijn van een verwerking van persoonsgegevens. Gelet op het ‘in beginsel’-verwerkingsverbod voor zulke persoonsgegevens, zal verwerkingsverantwoordelijke een (aanvullende) beoordeling van de rechtmatigheid van deze verwerking moeten uitvoeren.

Geanonimiseerde persoonsgegevens

Naast dat er vaak meer of andere persoonsgegevens worden verwerkt dan verwacht, komt het ook voor dat ten onrechte wordt gedacht dat bepaalde persoonsgegevens geanonimiseerd zijn. Het klopt op zichzelf dat als bepaalde persoonsgegevens geanonimiseerd zijn, deze informatie niet meer als ‘persoonsgegevens’ kwalificeert – en daarmee in beginsel buiten de reikwijdte van de AVG valt. Gelet op de opvattingen van de privacytoezichthouders (in Nederland de Autoriteit Persoonsgegevens, AP) is er echter slechts onder uitzonderlijke omstandigheden sprake van daadwerkelijke anonimisering, nu uit de informatie vaak op de een of andere manier  toch persoonsgegevens af te leiden zijn (door bijvoorbeeld ‘singling out’, het koppelen van bepaalde persoonsgegevens aan een individu en het kunnen afleiden van persoonsgegevens). Bestaat de originele dataset nog en zou men informatie uit de geanonimiseerde dataset door combinatie met het origineel kunnen herleiden, dan is geen sprake van anonimisering. Vaak is in plaats daarvan sprake van ‘pseudonimisering’ – waarop de AVG gewoon van toepassing is. Weliswaar is pseudonimisering een mooi voorbeeld van een maatregel voor het beveiligen van persoonsgegevens, maar daarmee blijft wel het regime van de AVG van toepassing. Het verdient overigens opmerking dat ook de handeling zelf (het anonimiseren of pseudonimiseren) een verwerking van persoonsgegevens is – waarop de AVG van toepassing is.

Samenvattend

Samenvattend: er is al snel sprake van verwerkingen van persoonsgegevens, en daarmee van toepasselijkheid van de AVG. Het is van belang om informatieprocessen niet te snel van de hand te doen als ‘privacyrechtelijk niet relevant’. Wees scherp op uw informatiehuishouding – en houdt bij de beoordeling van uw AVG-compliance de uiterst ruime definitie van de relevante begrippen in uw achterhoofd. Van belang is om alle verwerkingen van persoonsgegevens binnen uw organisatie inzichtelijk te hebben, om ten aanzien daarvan aan de AVG te voldoen.

Heeft u vragen over het bovenstaande of wilt u sparren over een AVG-gerelateerde kwestie? Neem dan vooral contact op. Ook met andere vragen (bijvoorbeeld over IE- of ICT-rechtelijke kwesties) kunt u bij onze sectie terecht.