Misverstand 1: persoonsgegevens
In de blogreeks "De 7 grootste misverstanden over de AVG" rekenen we af met de 7 meest gehoorde misverstanden. Een van de kernbegrippen in de Algemene Verordening Gegevensbescherming (AVG) is ‘persoonsgegeven’. Er bestaan nogal eens misverstanden over dit begrip. Het gaat namelijk niet alleen over namen, en ook niet alleen over privacygevoelige informatie. In deze blog leggen we uit wat wel een persoonsgegeven is.
Wie is die kale man met die rode sik?
Kennen we hem nog? - Bill van het klassieke kinderspel ‘Wie is het?’. Het spel wordt gespeeld met twee spelers. Iedere speler heeft een bord met 24 plaatjes van portretten van personen die naar beneden geklapt kunnen worden. De personen op de kaartjes hebben uiteenlopende kenmerken. Van ieder kenmerk zijn er meerdere te vinden op het bord (bijvoorbeeld een paar mensen met bril, een paar met rood haar, een paar met een snor, etc.), maar uiteindelijk zijn alle plaatjes uniek. Onder de portretten staat de naam van de persoon. Iedere speler bewaart een kaartje van een persoon, dat ook op het klapbord staat. Het is de bedoeling om de identiteit van de persoon op het kaartje van je tegenstander te achterhalen. Dit wordt gedaan door om en om gesloten vragen te stellen over het personage (“Is jouw personage kaal? Heeft jouw personage een bril?" enz.). Als kind hadden we het nog niet door; maar wat we hier deden was het combineren van persoonsgegevens om iemand te identificeren! (Man + kaal + rode sik = Bill)
Misverstanden
Het is een misverstand dat persoonsgegevens alleen namen betreffen, of alleen over gevoelige informatie gaat. ‘Persoonsgegeven’ is een zeer breed begrip. Veel antwoorden op de gesloten vragen die we elkaar stellen bij ‘Wie is het?’ zijn persoonsgegevens (geslacht, aan-/afwezigheid van haar, haarkleur, kleur ogen, wel/geen oogafwijking (bril?)). Immers, door deze informatie te combineren kunnen we een persoon identificeren. Maar bij het spel maken we voornamelijk gebruik van uiterlijke kenmerken van personen. Het begrip persoonsgegeven omvat nog veel meer gegevens, namelijk, zoals de AVG het begrip definieert: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
Identificeerbaar
Bij het bepalen of een natuurlijke persoon ‘identificeerbaar’ is, moet rekening worden gehouden met alle redelijke middelen die de verwerkingsverantwoordelijke of een andere persoon tot zijn beschikking heeft om de natuurlijke persoon direct of indirect te identificeren. Een stuk informatie kan helpen om iemand direct te identificeren, bijvoorbeeld de voor- en achternaam van een persoon; of een stuk informatie kan helpen om iemand indirect te identificeren, bijvoorbeeld een lidmaatschapsnummer van een sportvereniging. Het is niet vereist dat de verwerkingsverantwoordelijke de betrokkene daadwerkelijk kan identificeren met de informatie. Het feit dat iemand anders dit wel kan, maakt dat de informatie aangemerkt wordt als een persoonsgegeven. Voorbeeld: een lidmaatschapsnummer van een sportvereniging. Niet iedereen kan met dit nummer een persoon identificeren. Hiervoor is namelijk meer informatie vereist die de vereniging beheert: welk lidmaatschapsnummer hoort bij welke naam? Deze informatie is niet voor iedereen toegankelijk. Maar het feit dat iemand anders (een lid van de sportvereniging) wel toegang heeft tot deze database – en de koppeling tussen lidmaatschapsnummer en naam wel kan maken – maakt dat een lidmaatschapsnummer een persoonsgegeven is.
Naam is niet nodig
Om iemand te identificeren is het niet nodig zijn of haar naam te hebben. Iemand is ook te identificeren door bijvoorbeeld de combinatie van zijn of haar locatie en een ander persoonlijk kenmerk (“de oudste man van het dorp”), of door middel van andere kenmerken zoals uiterlijke, sociale of culturele kenmerken en het al dan niet behoren tot een bepaalde groep (“die jongen van de hockeyclub met paars haar”).
Redelijke middelen
Om te beoordelen of iemand identificeerbaar is, wordt gekeken of identificatie redelijkerwijs mogelijk is voor de verwerkingsverantwoordelijke of een andere persoon. Er wordt dan gekeken naar welke middelen redelijkerwijs gebruikt zouden kunnen worden. Voor het bepalen wat ‘redelijke middelen’ zijn, moeten allerlei factoren in beschouwing worden genomen zoals de kosten, de hoeveelheid tijd die nodig is voor identificatie, de beschikbare technologie op het moment van identificatie, maar ook met toekomstige technologische ontwikkelingen.
Geanonimiseerde data
De AVG is niet van toepassing op geanonimiseerde data. Anonimiseren is het proces waarbij persoonsgegevens onbruikbaar worden gemaakt voor identificatie; de gegevens zijn daarom geen persoonsgegevens meer en daarom is de AVG niet van toepassing. Anonimiseren vereist meer dan slechts het weglaten van namen of contactgegevens uit een dataset; ‘klant 33’ of ‘student s849623’ zijn nog steeds persoonsgegevens. Ten eerste kunnen anonieme gegevens worden verkregen door aggregatie. Dit is het samenvoegen van gegevens tot informatie zoals: de gemiddelde patiënt met ziekte X is tussen de 60 en 70 jaar oud. Een andere methode is randomiseren. Hierbij wordt in een dataset bepaalde informatie door willekeurige informatie vervangen. Bijvoorbeeld kan binnen een groep van deelnemers aan een onderzoek het geboortejaar en de woonplaats willekeurig verwisseld worden. Indien de leeftijd relevant is voor het onderzoek, kan de groep deelnemers worden verdeeld over verschillende leeftijdscategorieën. Dan kan de leeftijd van een deelnemer worden vervangen door de leeftijd van iemand anders uit dezelfde leeftijdscategorie. Hierdoor kan je nog wel een uitspraak doen over de groep deelnemers in een bepaalde leeftijdscategorie, maar niet op een individueel niveau. Als je een individueel geval bekijkt is de identiteit van de deelnemer namelijk niet meer zo makkelijk te herleiden op grond van zijn leeftijd.
Tussen persoonsgegevens en anonieme data bestaat de vorm van gepseudonimiseerde gegevens. Dit tweede onderwerp komt volgende week aan bod. Daarnaast zullen we nog de volgende onderwerpen behandelden:
- Register van verwerkingen
- Functionaris voor de Gegevensbescherming (FG)
- Privacy Impact Assessment (PIA)
- Convenanten
- Toestemming
Wil jij duidelijkheid over wat de AVG nou precies betekent voor jouw organisatie? Houd dan onze blogpagina in de gaten de komende weken en lees/leer hoe je deze misverstanden over de AVG de wereld uit kan helpen.