GDPR (1) Wat zijn persoonsgegevens?

13 juli 2017

We kunnen niet praten over GDPR zonder het over de definitie van persoonsgegevens te hebben. Persoonsgegevens kun je omschrijven als ‘alle informatie die in verband staat met geïdentificeerde of identificeerbare natuurlijke personen’. Zoals in alle definities is daarbij ieder woord belangrijk. We bekijken hieronder elke term uit de definitie.

  • Natuurlijke personen:
    Het gaat om gegevens van nog levende individuele personen en niet van rechtspersonen. Gegevens van firma’s die je klant of leverancier zijn, vallen hier dus niet onder, maar bijvoorbeeld contactpersoonsgegevens dan weer wel.
  • Geïdentificeerde personen:
    Een persoon kan bijvoorbeeld geïdentificeerd zijn aan de hand van naam, voornaam, adres en geboortedatum. Hoe meer gegevens je bij elkaar hebt en hoe kleiner de verzameling personen, hoe gemakkelijker het is de informatie tot één persoon terug te voeren.
  • Identificeerbare personen:
    Sommige gegevens zijn op zich niet aan een persoon te koppelen, maar bevatten een sleutel waarmee ze met andere gegevens kunnen gecombineerd worden. Als dat toch tot een identificatie kan leiden, gaat het ook om persoonsgegevens. De GDPR zegt expliciet dat dit zo blijft zolang de combinatie gemaakt kan worden met redelijke inspanningen.
  • Alle informatie:
    Hiermee wordt duidelijk aangegeven dat het niet enkel gaat over digitale informatie in gegevensbestanden maar even goed over verzamelde gegevens op papier, beeldmateriaal, klankopnamen… Sommige van de vroegere wetgevende initiatieven beperkten zich tot de digitale informatie, maar voor de GDPR is dat expliciet niet het geval.
  • Informatie die in verband staat met een persoon:
    Ook informatie die op zichzelf niets over een persoon zegt, kan een persoonsgegeven worden doordat ze aan een persoon gekoppeld wordt. Een goed voorbeeld zijn locatiegegevens (de plaats waar iemand zich op een bepaald ogenblik bevindt).

Het gaat dus om een zeer breed gamma aan gegevens, gaande van je naam, adres en geboortedatum via je burgerlijke staat en de namen van je partner en je kinderen tot je medisch dossier bij je huisarts of een uittreksel uit het strafregister. Informatie zoals je diploma’s, je talenkennis en je werkervaring stel je vaak bewust beschikbaar. Je persoonlijke belevenissen deel je via de sociale media vermoedelijk enkel met familie en vrienden en scherm je juist af van de buitenwereld. Maar heb je al gedacht aan de lijst van alle artikelen die je het laatste jaar in je favoriete supermarkt gekocht hebt of een overzicht van alle informatie waarnaar je op het internet op zoek bent geweest? Het gaat zelfs om de exacte plaats waar je GSM op een bepaald moment was (en dus wellicht ook jijzelf).

Tip

Om de omvang te overzien van de informatie waarop de GDPR van toepassing is, kun je alvast eens een eerste inventaris maken van de persoonsgegevens waar je zelf in je werkomgeving mee te maken hebt of ook van de gegevens waarvan je weet of vermoedt dat ze door je werkgever of door zakelijke contacten in andere firma’s over jou worden bijgehouden. Lees nog niet verder en doe eerst de oefening.

Heb je je lijstje gemaakt? Heb je aan volgende zaken gedacht?

  • Een schuif vol naamkaartjes, een spreadsheet met contactgegevens
  • Het privételefoonnummer van collega’s of het directe nummer van een consultant dat in vertrouwen doorgegeven is voor een noodgeval
  • Foto’s van het laatste personeelsfeest
  • Je CV
  • De verslagen van evaluatie- of functioneringsgesprekken
  • Overzichten van gewerkte dagen, afwezigheden en ziektedagen
  • Camerabeelden bij de toegangen tot de bedrijfsgebouwen of op de werkvloer
  • Logs die bijgehouden worden op de ICT-afdeling: uren waarop je ingelogd bent op het netwerk of op bepaalde applicaties, de websites die je bezoekt
  • Je mailverkeer (enerzijds de inhoud maar anderzijds ook het aantal mails, de bestemmelingen… )
  • Vragenlijstjes die je invult om van een leverancier informatie te ontvangen, een whitepaper te downloaden of op een nieuwsbrief in te tekenen (je interessedomeinen, je hobby’s, je functie in je bedrijf, je jaren ervaring… )

Dit overzicht is nog lang niet volledig, maar het is duidelijk waarom er wetgeving nodig is om te verzekeren dat iedereen die persoonsgegevens gebruikt, er zorgvuldig mee omspringt en zich aan een aantal regels houdt. Anderzijds is het ook onvermijdelijk en zelfs noodzakelijk dat persoonsgegevens gebruikt kunnen worden, niet alleen in de privésfeer of door de overheid maar ook door de bedrijfswereld. De GDPR wil precies zorgen voor een goed evenwicht tussen het recht op privacy van de individuen en de mogelijkheid voor bedrijven om de rijkdom aan informatie die beschikbaar is, te kunnen gebruiken, ook buiten de grenzen van één land. In het vervolg van deze blog zal het duidelijk worden dat bij de GDPR alles draait om de balans tussen deze beide invalshoeken. Welke informatie wordt gebruikt en met welke doel, is cruciaal voor de verplichtingen waaraan men moet voldoen. De volgende aflevering gaat dieper in op de gradaties in gevoeligheid van de persoonsgegevens en op wat de wet ‘speciale categorieën’ noemt. Daarna bekijken we wat men precies bedoelt met gegevensverwerking en welke rollen en verantwoordelijkheden daarbij gedefinieerd zijn.

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe of CIPP/E, een certificering van de IAPP (International Association of Privacy Professionals), de grootste internationale beroepsvereniging van privacy professionals.

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

Gerelateerd nieuws
LOADING