Enkele illustraties van het begrip ‘persoonsgegeven’

Inleiding

Vragen, en antwoorden, over privacy kunnen complex zijn. Bijzonder complex zelfs. Maar de ervaring leert dat de eerste vraag die gesteld zou moeten worden juist verraderlijk simpel is. Want, hebben we nu eigenlijk wel te maken met persoonsgegevens?

Een persoonsgegeven is ieder gegeven dat een natuurlijke persoon identificeert, maar ook ieder gegeven dat een natuurlijk persoon identificeerbaar maakt. De Wet bescherming persoonsgegevens, maar ook de Verordening Gegevensbescherming die vanaf mei 2018 van toepassing zal zijn, neemt deze definitie als uitgangspunt voor de toepasselijkheid van de regels. Kort gezegd: geen persoonsgegeven, geen toepassing van de wet of de verordening.

Maar hoe passen we dit begrip nu toe in de praktijk? Om u een idee te geven, worden hierna enkele voorbeelden geschetst. Hierbij passen we de volgende maatstaf toe: is het mogelijk om, met de gegevens die u heeft of gemakkelijk kunt verkrijgen, iemand te identificeren?

Voorbeeld 1: het e-mailadres van een medewerker

U bent kantoormedewerker en uw e-mailadres bestaat uit het volgende format: a.bakker@kantoornaam.nl. Met dit gegeven kan er vastgesteld worden dat u 1) de voorletter A heeft, 2) de achternaam Bakker hebt, 3) waar u werkt. U bent zo identificeerbaar, dus uw e-mailadres is een persoonsgegeven.

Voorbeeld 2: het e-mail adres voor de externe contacten

U bent verantwoordelijk voor externe contacten en verwerkt de e-mail die binnenkomt op info@kantoornaam.nl. Met dit gegeven kan niet worden vastgesteld wie u bent. Zonder verdere beschikbare gegevens of context waar deze uit af te leiden is, is hier geen sprake van een persoonsgegeven.

Voorbeeld 3: gegevens van leveranciers

In verband met de contacten die aangehouden worden met leveranciers, legt u een lijst aan van leveranciers en u vult hierbij steeds de naam in van de leverancier en het BTW-nummer. Op het eerste gezicht bent u niet met persoonsgegevens bezig. Het gaat immers ‘alleen’ om de nummers en namen van rechtspersonen en niet van natuurlijke personen. Hier speelt echter een probleem: het BTW-nummer van een eenmanszaak bestaat uit het burger service nummer van de eigenaar. U verwerkt dus persoonsgegevens. Sterker nog: u verwerkt een bijzonder gevoelig persoonsgegeven. U vindt dit een opvallende praktijk? De Autoriteit Persoonsgegevens is het met u eens en doet hier dan ook onderzoek naar.

Voorbeeld 4: klantgegevens

U bent verantwoordelijk voor het klantcontact en onderhoudt daarom een lijst met e-mailadressen van klanten die hebben aangegeven interesse te hebben in nieuws van uw bedrijf. U bent van plan deze e-mailadressen te gaan delen met een derde partij om te kijken of er sprake is van dubbele adressen. Daarom versleutelt u de gegevens, zodat er alleen nog nummers overblijven, voordat u ze naar deze derde partij stuurt. De sleutel stuurt u in een separate e-mail op naar de derde partij, zodat deze zijn eigen gegevens op dezelfde manier kan versleutelen en de ontdubbeling plaats kan vinden.

Zijn de versleutelde gegevens dan nog persoonsgegevens? Ja, zeker, ook al kan er op het blote oog geen klant mee geïdentificeerd worden. Ook als u de sleutel bijvoorbeeld door iemand van een andere afdeling laat bewaren, is het mogelijk om de gegevens te ontsleutelen en de gegevens herleidbaar naar een natuurlijk persoon te maken. Alleen als ontsleuteling nooit meer mogelijk is, zou geen sprake meer zijn van persoonsgegevens.

Verwerkt u persoonsgegevens? Geen man over boord. De huidige en toekomstige wetgeving is er niet om dit te verbieden, maar om het goed te reguleren.