De Europese Algemene Verordening Gegevensbescherming (AVG) is van toepassing op de verwerking van persoonsgegevens. Het is daarom van groot belang om te weten wanneer er al dan niet sprake is van 'persoonsgegevens'.

“Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare levende natuurlijke persoon.”

Wanneer een persoon dus geïdentificeerd is (bv. je weet de naam van de persoon), dan zijn alle gegevens die je verzamelt met betrekking tot deze persoon, persoonsgegevens.

Dit is ook het geval wanneer een persoon niet geïdentificeerd, maar ‘identificeerbaar’ is. Dit wil zeggen dat de betrokkene direct of indirect kan worden geïdentificeerd.

Directe identificatie gebeurt aan de hand van informatie die rechtstreeks leidt tot de identiteit van een persoon. Voorbeelden hiervan zijn een naam, een adres, een telefoonnummer, het rijkregisternummer, een foto, …

Indirecte identificatie daarentegen gebeurt op basis van informatie die op zichzelf niet direct herleidbaar is tot een persoon, maar wel wanneer die wordt gecombineerd met andere beschikbare informatie. Dit zijn vaak gegevens die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Voorbeelden hiervan zijn een postcode, leeftijd, geslacht, gegevens over iemands reactietijd op een taak, hersenactiviteit (bv. EEG), bloedsuikerspiegel, persoonlijkheid, hartslag, …

We spreken dus over persoonsgegevens wanneer gegevens:

• direct leiden tot de identiteit van een persoon;
• in combinatie met andere gegevens leiden tot de identiteit van een persoon;
• gekoppeld zijn aan een geïdentificeerd of identificeerbaar persoon maar op zichzelf geen identificeerbare eigenschappen hebben.

Het is belangrijk te onthouden dat informatie die op het eerste gezicht niet herleidbaar lijkt tot een persoon, volgens de definitie van de AVG wel degelijk een persoonsgegeven kan zijn.

Gegevens van overleden personen, organisaties (rechtspersonen) of dieren zijn geen persoonsgegevens volgens de AVG en vallen dus buiten het toepassingsgebied. Op die gegevens kunnen wel andere wet- en regelgevingen van toepassing zijn.

Bijzondere categorieën

Sommige persoonsgegevens zijn zo gevoelig dat ze alleen in heel specifieke gevallen mogen worden verwerkt; dit zijn de zogenaamde 'bijzondere categorieën van persoonsgegevens' of de ‘gevoelige persoonsgegevens’. Het gaat dan om persoonsgegevens waaruit bepaalde gevoelige informatie kan worden afgeleid. Bij deze gegevens is er sprake van een verhoogd risico bij het verwerken ervan, want er is mogelijk een grotere impact op de rechten en vrijheden van de betrokkene(n). De AVG vereist dan ook een verhoogde bescherming bij het gebruik en de verwerking van deze gegevens.

De bijzondere categorieën van persoonsgegevens zijn die waaruit je de volgende zaken kan afleiden:

• ras of etnische afkomst,
• politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond,
• genetische gegevens (bv. Een DNA analyse),
• biometrische gegevens met het oog op unieke identificatie (bv. Vingerafdrukgegevens of gelaatsherkenning),
• gegevens over gezondheid, of
• gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Gepseudonimiseerde persoonsgegevens

Gepseudonimiseerde persoonsgegevens zijn persoonsgegevens die je op zodanige wijze bewerkt dat je ze niet meer aan een specifiek individu kan koppelen zonder dat je aanvullende gegevens gebruikt (in de vorige Privacywetgeving werd dat als ‘coderen’ aangeduid). Dat houdt meestal in dat je de identificerende gegevens vervangt door een pseudoniem. De link tussen de identiteit van de betrokkenen en het pseudoniem neem je dan in een afzonderlijk bestand op. Het is daarbij belangrijk de nodige technische en organisatorische maatregelen te nemen om dit afzonderlijk bestand te beveiligen (bv. encryptie).

Omdat er nog steeds een link met de identiteit van de betrokkene blijft bestaan (door het gebruik van aanvullende gegevens/informatiebronnen kunnen de gegevens worden gekoppeld aan de betrokkene), blijven gepseudonimiseerde persoonsgegevens wel degelijk persoonsgegevens die beschermd worden door de AVG.

Geanonimiseerde persoonsgegevens

Bij geanonimiseerde persoonsgegevens werd door middel van een verwerkingstechniek de mogelijkheid tot identificatie ‘onomkeerbaar’ verwijderd.

Persoonsgegevens die op zo een manier zijn geanonimiseerd dat niemand met een redelijke inspanning de betrokkenen kan (her)identificeren, worden niet langer als persoonsgegevens beschouwd maar als geanonimiseerde gegevens. Geanonimiseerde persoonsgegevens vallen niet onder het toepassingsgebied van de AVG.

De handeling van het anonimiseren valt wél onder de toepassing van de AVG.

Let dus op: als je zelf persoonsgegevens anonimiseert, werk je bij aanvang en tijdens het anonimiseren uiteraard wél met identificeerbare persoonsgegevens en blijft de AVG van toepassing. Dat betekent dat je aan de vereisten van de AVG moet voldoen, startende met het registreren van je verwerkingsactiviteit door middel van een GDPR-record.

Gegevens die met een redelijke inspanning terug te leiden zijn naar de oorspronkelijke individuen zijn geen geanonimiseerde gegevens, maar zijn nog steeds persoonsgegevens die binnen het toepassingsgebied van de AVG vallen.

Heel wat types onderzoeksdata (bv. kwalitatieve data, grote datasets met een breed scala aan persoonsgegevens, …) zijn moeilijk om te anonimiseren.

Anonieme gegevens

Anonieme gegevens zijn gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon, of persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Gegevens zijn anoniem als niemand, op wat voor manier dan ook, de betrokken personen kan identificeren, dus het volstaat niet dat identificatie enkel onmogelijk is door jouw onderzoeksgroep.

Anonieme gegevens zijn geen persoonsgegevens en vallen niet onder het toepassingsgebied van de AVG.

Opgelet: zelfs als je enkel anonieme gegevens verwerkt, is het nog steeds belangrijk om de ethische aspecten omtrent het verzamelen of verwerken van die gegevens te evalueren.

Meer informatie

• Onderzoek en privacy