Naar de inhoud
DW&P Dr. Werner and Partners

Persoonsgegevens zijn meer dan alleen uw naam: hoe zit dat precies?

Dr. jur. Jörg WernerDr. jur. Jörg WernerBijgewerkt 4 min leestijd.md

Veel mensen denken bij 'persoonsgegevens' direct aan een voor- en achternaam. De Algemene Verordening Gegevensbescherming (AVG) hanteert echter een veel bredere definitie. Het gaat om alle informatie waarmee een levend persoon direct of indirect geïdentificeerd kan worden.

Uw naam identificeert u als persoon, maar wat als u een veelvoorkomende naam heeft? Een belangrijk uitgangspunt is: als informatie niet herleidbaar is tot een persoon, is de AVG niet van toepassing. Maar die grens wordt sneller bereikt dan u denkt.

Over persoonsgegevens binnen de AVG

De AVG zoekt de balans tussen stevige privacybescherming voor individuen en werkbaarheid voor bedrijven. Daarom is de definitie van persoonsgegevens zo cruciaal. Verzamelt, gebruikt of bewaart uw organisatie data van personen binnen de EU? Dan bent u verplicht te voldoen aan de strenge eisen rondom privacy en beveiliging. Doet u dat niet, dan riskeert u forse boetes van de toezichthouder.

Zijn alleen mijn voor- en achternaam persoonsgegevens?

Kort antwoord: Nee.

Persoonsgegevens omvatten veel meer dan alleen een naam. Het gaat om diverse kenmerken die kunnen leiden tot de identificatie van een specifiek persoon.

Stel, iemand heet Joe Borg. In Malta is dat een zeer gangbare naam. Op basis van alleen die naam weet u niet wie er bedoeld wordt. Maar combineert u die naam met andere informatie – waardoor u de persoon wél kunt identificeren – dan spreken we van persoonsgegevens. Zodra u informatie verzamelt die herleidbaar is tot een individu, gelden de regels en bepalingen van de AVG.

De lijst van wat persoonsgegevens zijn, is niet in beton gegoten. Het hangt sterk af van de context en de juiste interpretatie van de definitie in Artikel 4 van de AVG.

Natuurlijk zijn er de voor de hand liggende gegevens: naam, paspoortnummer, adres, bankrekeningnummer. Maar laten we eens verder kijken dan de standaardgegevens.

Verder kijken dan de standaardgegevens

Tatoeages zijn tegenwoordig populair. U vraagt zich misschien af: is een tatoeage een persoonsgegeven? Net als bij een veelvoorkomende naam moet een standaard tatoeage vaak gecombineerd worden met andere info om iemand te identificeren.

Echter, als een tatoeage zo uniek is dat deze een persoon makkelijk identificeerbaar maakt, kan het wel degelijk een persoonsgegeven zijn in de zin van de AVG. De context waarin de data wordt verzameld en verwerkt is hierbij doorslaggevend.

Tip: Als u een tatoeage laat zetten, bedenk dan dat de tatoeëerder uw gegevens niet zomaar mag delen als dit niet in lijn is met de AVG.

Wanneer informatie over een persoon wordt samengevoegd, kunnen verschillende puzzelstukjes de groep zo ver verkleinen dat één specifiek persoon overblijft.

Neem een ander voorbeeld: een kentekenplaat. Kentekens vallen onder de definitie van persoonsgegevens volgens de AVG. Met de juiste middelen kan een kenteken gekoppeld worden aan de eigenaar van de auto, waardoor de persoon indirect wordt geïdentificeerd. Het verzamelen van kentekens valt dus onder de regulering van de AVG.

Opslag en verzameling van persoonsgegevens

Een kernprincipe van de AVG is dataminimalisatie. Dit gaat over de hoeveelheid data die u opslaat én de bewaarduur. De wet schrijft voor dat persoonsgegevens niet langer bewaard mogen worden dan strikt noodzakelijk is voor het doel waarvoor ze zijn verwerkt.

Als een bedrijf uw gegevens verzamelt, moet u daarover duidelijk geïnformeerd worden. Hier is een checklist met vragen waar u antwoord op moet kunnen krijgen:

  • WELKE organisatie verzamelt uw gegevens?
  • HOE kunt u contact opnemen met de organisatie of de Functionaris Gegevensbescherming (FG)?
  • WAAROM worden uw gegevens verwerkt?
  • IS ER een wettelijke grondslag voor de verwerking?
  • HOE LANG worden uw gegevens bewaard?
  • WIE ontvangt uw gegevens nog meer?
  • WORDEN uw gegevens doorgegeven aan partijen buiten de EU?
  • HEEFT u recht op inzage of een kopie van uw data?
  • RESPECTEERT het bedrijf uw grondrechten volgens de AVG?
  • KUNT u ergens een klacht indienen?
  • IS het intrekken van toestemming net zo makkelijk als het geven ervan?
  • MAAKT het bedrijf gebruik van geautomatiseerde besluitvorming?

De volledige wettekst en details vindt u hier.

Persoonsgegevens moeten zo kort mogelijk worden bewaard. Deze termijn moet worden vastgesteld in lijn met de AVG, rekening houdend met het doel van de verwerking en wettelijke verplichtingen (zoals de fiscale bewaarplicht die bedrijven verplicht bepaalde administratie tot 10 jaar te bewaren).

Bedrijven moeten termijnen vaststellen waarna niet meer benodigde data wordt verwijderd of gecontroleerd. De verordening kent uitzonderingen: als opslag in het algemeen belang is, of voor wetenschappelijk of historisch onderzoek, mogen gegevens soms langer bewaard worden – mits de juiste maatregelen zijn getroffen.

Daarnaast moet een organisatie ervoor zorgen dat de persoonsgegevens correct en actueel blijven.

Conclusie

Zaken als kentekens en tatoeages zijn misschien niet de eerste dingen waar u aan denkt bij privacy, maar het opslaan van dergelijke informatie moet wel degelijk in overeenstemming zijn met de AVG. Voor elke verwerking van persoonsgegevens is een compliance-proces nodig. Wilt u meer weten over hoe dit voor uw situatie geldt? Neem dan contact met ons op via gdprcompliance@drwerner.com.

Dr. jur. Jörg Werner

Over de auteur

Dr. jur. Jörg Werner

Management

Dr. jur. Jörg Werner richtte DW&P in 2013 op in Malta met als doel Duitstalige ondernemers ter plaatse te adviseren over oprichting en fiscale planning. Zijn uitgebreide juridische expertise en strategisch inzicht in de behoeften van internationale cliënten bepalen tot op heden de koers van het kantoor.

Uw situatie verdient een persoonlijke beoordeling

In een gratis gesprek van 30 minuten bespreken onze senior adviseurs uw opties. Vertrouwelijk en vrijblijvend.

Boek een adviesgesprek

Lees meer

Meer artikelen

Kantoornieuws

Iran-conflict: Hoe veilig zijn Dubai en Cyprus voor expats?

4 Min.

Kantoornieuws

Een goklicentie aanvragen bij de Malta Gaming Authority (MGA)

8 Min.

Kantoornieuws

Jachtregistratie op Malta: Dit moet u weten!

7 Min.
Alle artikelen
CSP Licensed Badge

Corporate Services bij DW&P Dr. Werner & Partners worden verleend door DW&P Services Ltd. (C 103208), dat onder toezicht staat van de MFSA en een vergunning heeft onder Authorised Person ID: DSER-23577 voor het uitvoeren van activiteiten als Class C CSP conform de Company Services Providers Act (Cap. 529 van de wetten van Malta).

BellenGratis Adviesgesprek