20jun, 18
VANDIJK advocaten - Meer over persoonsgegevens en het anonimiseren daarvan… (mr. Ynke M.M. Ooykaas)

Omdat er vanuit de praktijk veel vragen komen, ga ik bij deze dieper in op het begrip ‘persoonsgegevens’ en het anonimiseren daarvan.

Om te beginnen is de invulling van het begrip ‘persoonsgegevens’ erg afhankelijk van het land. De EU heeft veel strengere regels dan bijvoorbeeld Amerika. Dit kan problemen opleveren wanneer de server waarop uw cloud draait, in de USA staat. De manier waarop met uw gegevens wordt omgegaan, wordt dan beoordeeld naar Amerikaans recht. Of zelfs het recht van de Amerikaanse staat waar de server staat! In Europa moet u als bedrijf een ‘grondslag’ hebben om persoonsgegevens te verwerken. In Amerika is het voldoende in een privacy statement of privacy policy uit te leggen wat u doet.

  • Onder de AVG is het begrip persoonsgegevens sterk uitgebreid. Als persoonsgegevens worden beschouwd: namen, (e-mail)adressen, telefoonnummer (vast of mobiel) IP-adressen, locatiegegevens (via GPS of AIS), kentekens, lidmaatschapsnummer, foto/video, vingerafdruk, stem (belangrijk bij bijvoorbeeld spraakherkenning) uiterlijke kenmerken, geboortedatum, geboorteplaats, BSN-nummer, klantnummers bij bedrijven, medische informatie, informatie over financiële toestand, hobby’s, online soekgeschiedenis (belangrijk bij profiling), IMEI-nummer, personeelsdossier, IBAN etc. Let op: ook zoekopdrachten kunnen worden teruggeleid naar een natuurlijk persoon. De casus van mevrouw Thema Arnold, die door de New York Times (met haar toestemming) werd gevonden aan de hand van haar zoekopdrachten, spreekt boekdelen (zie ook https://www.nytimes.com/2006/08/09/technology/09aol.html) Hier gaat het dus ook om persoonsgegevens!

Gegevens van overleden personen vallen niet onder het begrip ‘persoonsgegevens’. Let wel op links met levende mensen. Wanneer daarvan sprake is gaat het wel weer over persoonsgegevens. Ook geanonimiseerde gegevens, gegevens die dusdanig zijn bewerkt dat ze niet meer tot individuele personen te herleiden zijn, vallen niet onder het begrip ‘persoonsgegevens’.

Persoonsgegevens anonimiseren kan op meerdere manieren. Een veel toegepaste manier is het vervangen van de naam door een nummer, maar dan moet u er wel voor zorgen dat naam en nummer niet meer aan elkaar te koppelen zijn en dat de resterende gegevens te weinig informatie bevatten om nog terug te leiden tot een persoon..

Andere manieren om te anonimiseren zijn:

Meer informatie? Neem contact met ons op!