Persoonsgegevens (AVG)
Persoonsgegevens zijn de volgende soorten gegevens:
- Identificatie: Gegevens die een individu identificeren (bv. een BSN-nummer)
- Gekoppelde gegevens: Gegevens over personen, gekoppeld aan deze personen (bv. oogkleur)
- Indirect gekoppelde gegevens: Gegevens over personen, die indirect gekoppeld zijn aan deze personen (bv. een internetprovider die weet welk IP-adres hoort bij welke klant op een bepaald moment)
Identificatie - Voorbeelden
- BSN-nummer
- Kopie van een paspoort
- Bankrekening
- AH Bonuskaart-ID
- Naam
- Foto
- Emailadres
Opmerkingen:
- Sommige van deze voorbeelden kunnen onvoldoende zijn. Als je bv. István Szabo heet, is dat onvoldoende om je eenduidig te identificeren. Een foto zal ook niet altijd voldoende zijn
- Als je een AH Bonuskaart aanvraagt, moet je bepaalde persoonsgegevens invullen. Vandaar dat een Bonuskaart-ID voldoende zal zijn om een individue te identificeren
- Een emailadres kan een grijs gebied zijn: Je kunt gemakkelijk een Gmail-account aanvragen zonder je te identificeren.
Gekoppelde gegevens - Voorbeelden
Ik vermoed dat zo'n beetje alles een persoonsgegeven wordt, zo snel het gekoppeld is aan de identificatie van een individue. Bv.:
- Geslacht
- Geboortedatum
- Etc.
Indirect gekoppelde gegevens
Indirect gekoppelde gegevens zijn gegevens die in eerste instantie niet zijn gekoppeld aan individuen, maar die wel gekoppeld kunnen worden. Zo snel die mogelijkheid niet puur theoretisch is, is er sprake van persoonsgegevens.
Voorbeeld: Gekoppelde AdWords- & Analytics-gegevens zijn in eerste instantie onpersoonlijk, tot zo'n persoon een order plaatst, of wanneer je een ontvangen email met wat gepuzzel kunt herleiden tot een Analytics-bezoekers.
Indirect gekoppelde gegevens: IP-adressen
Wellicht het interessantste voorbeeld van indirect gekoppelde gegevens, betreffen IP-adressen. Alleen de internet-provider kent deze, en op zijn beurt, moet ook de internetprovider deze gegevens geheim houden - Tenzij bv. de overheid de mogelijkheden heeft om die gegevens op te vragen. In die situatie worden het wel persoonsgegevens. [1], [2], [3]:
A much discussed topic is the IP address. The GDPR states that IP addresses should be considered personal data as it enters the scope of ‘online identifiers’. Of course, in the case of a dynamic IP address – which is changed every time a person connects to a network – there has been some legitimate debate going on as to whether it can truly lead to the identification of a person or not. The conclusion is that the GDPR does consider it as such. The logic behind this decision is relatively simple. The internet service provider (ISP) has a record of the temporary dynamic IP address and knows to whom it has been assigned. A website provider has a record of the web pages accessed by a dynamic IP address (but no other data that would lead to the identification of the person). If the two pieces information would be combined, the website provider could find the identity of the person behind a certain dynamic IP address. However, the chances of this happening are small, as the ISP has to meet certain legal obligations before it can hand the data to a website provider. The conclusion is, all IP addresses should be treated as personal data, in order to be GDPR compliant.
Maar deze situatie is ook al stuk dichter bij huis realiteit: Ooit gebruikte ik een webformulier-plugin die het IP-adres van de afzender vermelde. Daardoor kan ik dit IP-adres koppelen aan een persoon, en is dit een indirect gekoppeld gegeven geworden.
Conclusies:
- IP-adressen zijn soms persoonsgegevens. In geval van twijfel: Beschouw het altijd als een persoonsgegeven
- Op het moment dat ik al gegevens van een klant heb (bv. naam dankzij een bestelling op een webwinkel), is het bijbehorende IP-adres een persoonsgegeven.
Profilering
Bij profilering, dus het verzamelen en modelleren van persoonsgegevens, krijg je al snel dat allerlei indirecte gekoppelde gegevens alsnog gekoppeld worden, en daardoor vormen het persoonsgegevens. Bv.:
- AdWords & Analytics koppelen
- AdWords, Analytics & Remarketing.
Al snel ontstaan hierbij indirect gekoppelde gegevens: Welliswaar weet je niet wie je benadert via Remarketing, maar als zo iemand een order plaatst, weet je het opeens wél, plus dat je dan gelijk een hoop dingen over zo'n persoon weet.
Ik denk dat je dan al snel te maken krijgt met het principe van doelbeperking: Bouwen van profielen dient geen redelijk doel voor de klant. En daarom mag het alleen als je expliciet om toestemming vraagt.