Wat zijn persoonsgegevens volgens de AVG?

Mikael Korsholm Poulsen
By: Mikael Korsholm Poulsen AVG | 2 december

Sinds de introductie van de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 is ‘persoonsgegevens’ een buzzword geworden. Jij en je team zullen waarschijnlijk wel weten dat het belangrijk is om op een veilige manier met persoonsgegevens om te gaan, maar weten misschien niet hoe je dat op een juiste manier kan doen.

In deze blogpost gaan we dieper in op wat persoonsgegevens zijn volgens de AVG en wat het verschil is tussen gewone en bijzondere persoonsgegevens. Ook geven we je enkele concrete tips over hoe je AVG-compliant kan zijn in de omgang met persoonsgegevens.

Waarom is het belangrijk?

Omdat de AVG al een aantal jaren actief is, wordt er nu strenger toegezien op het correct omgaan met persoonsgegevens. Hetzelfde geldt voor de omvang van de boetes, die kunnen oplopen tot 4% van de wereldwijde omzet van een bedrijf. Een onveilige omgang met persoonsgegevens kan echter ook leiden tot identiteitsdiefstal, financiële fraude, inbreuk op de privacy, of nadelige gevolgen hebben voor jouw organisatie.

Persoonsgegevens in een notendop

Persoonsgegevens kunnen in het kort worden omschreven als informatie die gebruikt kan worden om een specifiek persoon te identificeren. Het bevat informatie zoals: naam, adres, kenteken, een sollicitatie of een foto van een tatoeage. Het is een zeer brede term dus deze informatie kan verder gecategoriseerd worden in ofwel gewone ofwel bijzondere persoonsgegevens.

Gewone persoonsgegevens

Gewone persoonsgegevens kunnen persoonlijke identificatiegegevens bevatten zoals:

  • Naam

  • Adres

  • Telefoonnnummer

  • Geboortedatum

  • Beroep

Bijzondere persoonsgegevens

Als persoonsgegevens als gevoelig worden aangemerkt, vereist de AVG een striktere omgang, aangezien een onjuiste omgang met zulke gegevens grote gevolgen kan hebben. Daarom is het van belang dat jouw medewerkers bijzondere persoonsgegevens kunnen herkennen en er extra voorzichtig mee kunnen zijn. De meeste bijzondere persoonsgegevens kunnen onderverdeeld worden in één van de volgende categorieën:

  • Ras of etnische afkomst

  • Politieke, religieuze of filosofische overtuigingen

  • Vakbondslidmaatschap

  • Genetische & biometrische gegevens (bv. vingerafdrukken)

  • Gezondheidsinformatie

  • Seksuele relaties of geaardheid

Voor velen zullen deze categorieën voor de hand liggen maar er zijn enkele verrassende voorbeelden. Een burgerservicenummer wordt bijvoorbeeld niet als gevoelig beschouwd. Het burgerservicenummer behoort tot een derde categorie, namelijk vertrouwelijke persoonsgegevens. Hoewel deze niet als bijzondere persoonlijke gegevens worden beschouwd, hanteren sommige landen aparte regels voor hoe deze moeten worden behandeld.

Illustration of personal data

Gemengde persoonsgegevens

De vereisten van de AVG kunnen onduidelijk lijken als je bijvoorbeeld een document ontvangt dat zowel gewone, bijzondere als vertrouwelijke gegevens bevat. Normaal gesproken kun je snel achterhalen hoe je de informatie moet verwerken als je goed bent in het herkennen van bijzondere persoonsgegevens. Neem bijvoorbeeld een cv. Het overgrote deel van de informatie in een cv kan worden gecategoriseerd als gewone persoonsgegevens, zoals naam, adres, telefoonnummer, leeftijd en werkervaring. Tegelijkertijd kan een bepaalde opleiding en werkervaring ook als vertrouwelijke informatie worden geclassificeerd. Een vuistregel voor je medewerkers is dat je steeds moet beginnen met het identificeren van bijzondere persoonsgegevens wanneer je met dergelijke situaties wordt geconfronteerd. Als je zelfs maar een enkel stukje bijzondere gegevens vindt, moet het hele document als bijzondere gegevens worden behandeld. Dit voorkomt dat elk stukje persoonlijke informatie afzonderlijk verwerkt moet worden.

Het omgaan met persoonsgegevens

Afhankelijk van de categorie waartoe persoonsgegevens behoren, bevat de AVG ook regels voor situaties waarin ze verwerkt mogen worden. Als het verzamelen en verwerken van persoonsgegevens deel uitmaakt van je werk, dan moet je ook de context en de rechtmatige grondslag voor de verwerking van persoonsgegevens begrijpen. Als je je bewust bent van die factoren, kan je ervoor zorgen dat je de regelgeving niet overtreedt en kan je nagaan of je organisatie de vereiste machtigingen heeft om persoonsgegevens te verwerken.

Tips voor het omgaan met persoonsgegevens

Hoewel het misschien ontmoedigend lijkt om veranderingen in je gewoonten en werkroutine aan te brengen, kan je al een heel eind komen door drie eenvoudige stappen te onthouden:

Smart CTA_e-book NL

Wat kan ik doen?

Technische oplossingen zijn belangrijk om problemen binnen de IT aan te pakken, maar het is net zo belangrijk dat de mensen in jouw organisatie bewust en op de juiste manier met gegevens omgaan. De kennis en toewijding van je team is cruciaal voor jouw informatiebeveiliging.

In deze blog hebben we enig inzicht gegeven in wat persoonsgegevens zijn en waarom je er voorzichtig mee moet omgaan. Maar als het op de omgang met persoonsgegevens aankomt, is het niet genoeg dat slechts één persoon in de organisatie weet wat te doen – iedereen in de organisatie moet erop kunnen vertrouwen om persoonsgegevens op de juiste manier te kunnen verwerken zonder het risico te lopen dat de organisatie een fikse boete krijgt.

Bij CyberPilot bieden we een awareness training e-learningmodule aan waarin je team kan leren over hoe om te gaan met persoonsgegevens. Awareness training biedt ook een stevive basis voor AVG-compliance en het hebben van een sterke informatiebeveiligingscultuur in jouw organisatie. Je kan het 3 maanden gratis uitproberen.