Een persoonsgegeven leidt je naar een persoon
Een voor- en achternaam, dat is duidelijk. Dan hebben we het over een persoonsgegeven. Een adres, daar kun je ook nog wel in komen. Maar een IP-adres? Of een postcode in combinatie met een geboortedatum? Waarom is dat een persoonsgegeven?
Je spreekt over persoonsgegevens als je informatie hebt die “direct of indirect herleidbaar is tot een persoon”. Dat betekent dat je óf met die informatie direct weet om wie het gaat. Óf dat je met die informatie vrij eenvoudig kunt achterhalen over welke persoon het gaat. Indirect dus.
Herleidbaar is niet anoniem
Soms worden codes of nummers gebruikt om informatie over een persoon ‘anoniem’ te maken. In werkelijkheid zijn die codes of nummers geen anonieme gegevens, maar zijn ze pseudoniem. Want met de code of het nummer, kun je toch achterhalen om welke persoon het ging. Dat betekent dat het op het eerste gezicht niet duidelijk is over wie de informatie gaat. Maar als je verder onderzoek doet, of wat informatie met elkaar combineert, dan kun je tóch achterhalen op wie de informatie betrekking heeft.
Dit zijn wél persoonsgegevens:
- Burgerservicenummer
- IP-adres
- KvK-nummer van een eenmanszaak
- Zakelijk of privé mobiel telefoonnummer
- Foto waarop een persoon herkenbaar is afgebeeld
- Personeelsnummer
- Klantnummer
- Cookie ID
- Combinatie van voorkeuren en demografische informatie
- Postcode in combinatie met geboortedatum
- Login-naam
- Persoonlijk wachtwoord
Dit zijn geen persoonsgegevens:
- IMEI-nummer van een zakelijke telefoon die onder de medewerkers gerouleerd wordt
- Het zakelijke bedrijfstelefoonnummer
- KvK-nummer van een onderneming met meerdere medewerkers
- IP-adres van een computer in de bibliotheek
- Een foto van een groep mensen die niet herkenbaar zijn afgebeeld
- Statistieken op basis van geaggregeerde informatie
En ja, het klopt. Deze lijsten zijn niet eenduidig en niet eenvoudig. Want de ene keer is een KvK nummer dus wel een persoonsgegeven. En de andere keer niet. De vraag die je jezelf dus iedere keer moet stellen luidt:
Kan ik op basis van de informatie die ik voor mij heb achterhalen om welke specifieke persoon het gaat?
Als je op die vraag ‘ja’ kunt antwoorden, heb je te maken met een persoonsgegeven. En als je te maken hebt met persoonsgegevens, geldt de AVG. Dan moet je bijvoorbeeld verwerkersovereenkomsten sluiten en een privacyverklaring op je website tonen.