Wat is een persoonsgegeven?

De nieuwe Europese privacy-verordening die in mei 2018 van kracht gaat (GDPR, de General Data Protection Regulation) zal zorgen voor een heuse omwenteling in de wereld van persoonsgegevensverwerking. Talloze bedrijven zullen genoodzaakt worden om hun interne processen in vraag te stellen en deze aan te passen. Inschatten hoe of wat begint met één centrale vraag: wat is een persoonsgegeven?

De Working Party 29 of WP29, een Europees adviesorgaan over gegevensbescherming, heeft in een toonaangevend advies uit 2007 geconcludeerd dat het de bedoeling van de Europese wetgever was om een brede inhoud aan het begrip persoonsgegeven te geven, maar niet zonder er grenzen aan te stellen.

Deze blogpost beoogt om het 24 pagina’s tellend advies in iets compactere vorm weer te geven waarbij we ons baseren op de vier bouwstenen die de WP29 gebruikt om te oordelen of een gegeven nu een persoonsgegeven is of niet. Deze bouwstenen vinden hun oorsprong in de definitie die ook in de GDPR behouden blijft: iedere informatie, betreffende, een geïdentificeerde of identificeerbare, natuurlijke persoon.

Iedere informatie (“any information”)

Alle informatie die terug kan worden getraceerd naar een natuurlijk persoon zal worden gedefinieerd als een persoonsgegeven. De WP29 heeft steeds bewust een brede definitie gehanteerd. Niet alleen de objectieve gegevens zoals adres, gewicht of bloedgroep worden beschermd. Ook subjectieve gegevens zoals werkcompetenties, gemoedstoestand of kredietwaardigheid vallen hier onder.

Betreffende (“relating to”)

Algemeen kan men stellen dat informatie wordt geacht een persoon te “betreffen” wanneer het om informatie over die persoon gaat. De resultaten van een medisch onderzoek van een patiënt gaan over de situatie van de patiënt.

Echter, er zijn ook situaties waar het niet altijd duidelijk is om te bepalen of informatie iemand “betreft”. Soms gaat informatie over voorwerpen en niet over personen. Maar deze voorwerpen kunnen iemands eigendom zijn, de informatie wat betreft deze voorwerpen kan dus worden gelinkt aan een persoon.

Zo kan bijvoorbeeld de waarde van een woning een persoonsgegeven zijn als deze waarde wordt gebruikt om de omvang van de belastingverplichtingen van een individu vast te stellen. Op dat moment wordt de waarde namelijk niet gezien als een objectief bedrag over een huis (het huis is zoveel waard) maar wordt het in context gekoppeld aan een persoon (persoon X is in het bezit van huis Y dat zoveel waard is en daarom is zijn belastingaanslag Z).

 Geïdentificeerd of identificeerbaar (“identified or identifiable”)

Een natuurlijke persoon kan als identificeerbaar worden beschouwd als hij binnen een groep kan worden onderscheden van de rest. Deze identificatie kan gebeuren met behulp van naam, eigenschap of uiterlijke kenmerken (art. 4, 1) GDPR).

Waar de naam de meest voor de hand liggende identificator is het ook mogelijk dat iemand identificeerbaar is met behulp van een combinatie van verschillende gegevens.

Om te bepalen of een persoon identificeerbaar is, moet men kijken naar alle middelen die redelijkerwijs door de verwerkingsverantwoordelijke kunnen worden ingezet om iemand te identificeren. Een louter hypothetische mogelijkheid tot identificatie is niet voldoende, er dient bijvoorbeeld rekening te worden gehouden met de kostprijs en de technische know-how om dit te kunnen bepalen.

Natuurlijk persoon

Principieel wordt enkel informatie over natuurlijke personen in leven geviseerd, gegevens over overleden personen of over rechtspersonen worden initieel niet beschouwd als persoonsgegevens. Echter is het wel mogelijk dat deze gegevens iets kunnen zeggen over natuurlijke personen die nog in leven zijn, denk bijvoorbeeld aan de informatie in een medisch dossier die vaak niet enkel handelt over de overledene, maar ook over familie, verpleegkundigen, artsen en dergelijke meer. Dergelijke informatie blijft een persoonsgegeven, ookal is de persoon over wie het medisch dossier gaat overleden.