De beveiliging van persoonsgegevens (O&R nr. 135) 2022/2.2.2.2:2.2.2.2 ‘Persoonsgegevens’

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/2.2.2.2

2.2.2.2 ‘Persoonsgegevens’

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS660957:1
Vakgebied(en): Privacy (V)

Het begrip ‘persoonsgegevens’ is in de AVG gedefinieerd als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”.1 Degene over wie dergelijke gegevens in een concreet geval gaan, wordt aangeduid als de betrokkene (ook wel het datasubject).2 De definitie van persoonsgegevens is op te delen in verschillende elementen: het betreft ‘alle informatie’ die gaat ‘over’ een ‘geïdentificeerde of identificeerbare natuurlijk persoon’.3 In deze paragraaf ga ik een voor een op deze elementen in. Hierbij is allereerst de rechtspraak van het HvJ EU van belang. Dat heeft zich echter pas in 2016 over het begrip persoonsgegevens uitgelaten. Tot dan toe had de art. 29-werkgroep de belangrijkste aanwijzingen op dit punt gegeven.4 Deze aanwijzingen zijn ook nu nog van belang (zo lijkt het HvJ EU hier vaak aansluiting bij te zoeken).5

Uit de definitie van het begrip persoonsgegevens blijkt dat ‘alle informatie’ persoonsgegevens kan zijn. In de zaak Nowak heeft het HvJ EU zich uitgelaten over de betekenis van deze woordcombinatie. Het overweegt dat zij meebrengt dat de reikwijdte van de AVG zich potentieel uitstrekt tot elke soort informatie. De aard of inhoud van informatie is dus niet bepalend voor de kwalificatie daarvan als (een) persoonsgegeven(s). Naast objectieve informatie (feiten over een betrokkene), omvat het begrip hierdoor ook subjectieve informatie., zoals informatie over een mening en beoordelingsgegevens.6

Persoonsgegevens gaan ‘over’ een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat de informatie een dergelijk persoon ‘betreft’.7 Er is sprake van dergelijk betreffen indien de informatie “wegens haar inhoud, doel of gevolg aan een bepaald persoon is gelieerd”.8 Er zijn dus voor wat betreft het element ‘over’, drie categorieën persoonsgegevens.

De eerste categorie persoonsgegevens betreft natuurlijke persoon inhoudelijk. De meeste persoonsgegevens vallen in deze categorie. Het gaat bijvoorbeeld om adresgegevens en andere gegevens die objectieve of subjectieve kenmerken van een persoon bevatten. Ook meningen kunnen hieronder vallen. Gegevens die een individu inhoudelijk betreffen, hebben de duidelijkste link met een geïdentificeerde of identificeerbare persoon.

De tweede categorie bestaat uit gegevens die een doel hebben dat is verbonden aan een geïdentificeerde of identificeerbare persoon. Denk hierbij onder meer aan gegevens met een beoordelingsdoel, zoals examenantwoorden en de daarbij gemaakte aantekeningen van een examinator.9 Uit de uitspraak Nowak blijkt echter dat deze gegevens, doordat zij de gedachten en kwaliteiten van de geëxamineerde weergeven, ook vanwege hun inhoud persoonsgegevens zijn.10 Waarschijnlijk zullen de meeste gegevens die in de ‘doel’-categorie vallen dan ook tegelijkertijd inhoudelijk over een natuurlijke persoon gaan. Gegevens die waarschijnlijk alleen via hun doel over een persoon gaan, zijn bijv. gegevens die invloed hebben op de wijze waarop iemand wordt behandeld of op de status die iemand wordt toegekend, zoals een visum.11

De derde categorie betreft persoonsgegevens die gevolgen hebben voor de rechten of belangen van een geïdentificeerde of identificeerbare persoon.12 Het HvJ EU heeft nog geen concrete criteria voor deze laatste categorie geformuleerd. De art. 29-werkgroep heeft toegelicht dat de gevolgen die de gegevens hebben voor de rechten of belangen van een geïdentificeerde of identificeerbare persoon niet groot hoeven te zijn. “Het is voldoende als de persoon als gevolg van de verwerking van de betrokken gegevens anders wordt behandeld dan anderen”.13 Ook hieraan voldoen examenantwoorden en de aantekeningen van een docent. Zij kunnen immers gevolgen hebben voor de toekomst van de student.14 Welke gegevens alleen op grond van hun gevolgen persoonsgegevens zijn, is tot op heden nog niet verduidelijkt. De art. 29-werkgroep verwijst in dit kader naar systemen die het mogelijk maken taxi’s te lokaliseren zodat bij een aanvraag de dichtstbijzijnde taxi kan worden opgeroepen. Dergelijke systemen zijn immers weliswaar gericht op het lokaliseren van taxi’s, maar maken het ook mogelijk de effectiviteit van de taxichauffeur te monitoren. Het is mogelijk dat de taxichauffeur hierop wordt beoordeeld, waardoor deze gegevens grote gevolgen voor hem of haar kunnen hebben.15

Gegevens zijn ten slotte alleen persoonsgegevens als ze gaan over een (levende) ‘geïdentificeerde of identificeerbare natuurlijke persoon’.16 Het is niet nodig dat iemand al geïdentificeerd is of dat er voornemens tot identificering bestaan; de hypothetische mogelijkheid ertoe is voldoende. Of een natuurlijk persoon identificeerbaar is, is feitelijk en relatief. Het gaat erom dat een persoon binnen de relevante groep kan worden geïdentificeerd. Dit betekent dat het gegeven dat iemand zestig jaar oud is wellicht geen persoonsgegeven is in het kader van een lidmaatschap van een grote politieke partij voor ouderen, maar wel indien het gaat om een lijst met ingeschreven eerstejaars studenten.17

Er is sprake van identificeerbaarheid “indien de natuurlijke persoon direct of indirect kan worden geïdentificeerd”.18 Identificatie kan geschieden door middel van een (online) identificator, zoals een naam, IP-adres of locatiegegevens, maar ook dankzij een of meerdere element(en) die kenmerkend zijn voor de identiteit van een natuurlijke persoon. Het is niet vereist dat de informatie zelf de koppeling met de betrokkene mogelijk maakt.19 Ook als daarvoor aanvullende middelen nodig zijn, kan er sprake zijn van persoonsgegevens. In dit kader moet rekening worden gehouden met “alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon”.20 Deze middelen hoeven zich niet in de handen van een en dezelfde persoon te bevinden.21 Wat redelijkerwijs valt te verwachten, verschilt per situatie en is afhankelijk van onder meer de kosten die met de identificatie gepaard gaan en de tijd die ervoor benodigd is. Ook de technische mogelijkheden spelen een belangrijke rol. Identificatie is niet redelijkerwijs te verwachten indien dit bij wet is verboden of het een dusdanige excessieve (financiële, tijdrovende of veel menskracht vergende) inspanning vereist dat het risico op voor identificatie in werkelijkheid onbeduidend lijkt.22

De eis van identificeerbaarheid brengt mee dat de AVG niet van toepassing is op geanonimiseerde gegevens.23 Het is dan wel van belang dat de anonimisering niet met gebruik van in dat geval redelijkerwijs te verwachten middelen kan worden teruggedraaid en dat identificatie niet alsnog kan plaatsvinden met behulp van extra middelen.24 Ook gepseudonimiseerde gegevens (gegevens waarvan de direct herleidbare persoonsgegevens, zoals een naam, zijn vervangen door niet-gerelateerde alternatieve informatie) die met behulp van aanvullende informatie tot een individu herleidbaar zijn, zijn persoonsgegevens.25

Het begrip persoonsgegevens is al met al zeer breed. Het is hierdoor goed denkbaar dat partijen zich er niet bewust van zijn dat zij persoonsgegevens verwerken.26 Dit is niet zonder kritiek. Zo wordt in de literatuur gesteld dat de huidige uitleg van het begrip tot gevolg kan hebben dat zelfs gegevens over het weer onder de AVG vallen.27 Om dergelijke “onredelijke en buitensporige juridische consequenties” te voorkomen, stelt Advocaat-Generaal Jääskinen de toepassing van het evenredigheidsbeginsel bij de uitleg van het materiële toepassingsgebied van de richtlijn voor.28

Dat zo veel gegevens persoonsgegevens zijn, betekent dat art. 5 lid 1 onder f en 32 AVG verplichten tot het beveiligen van zeer veel verschillende gegevens: van namen, adressen, BSN-nummers en DNA-gegevens, tot browsergeschiedenissen, examenantwoorden, strafbladen, vluchtgegevens en klantenpasgegevens. De ‘aard van de te beveiligen gegevens’, een van de elementen die de passendheid van getroffen beveiligingsmaatregelen beïnvloedt, kan dan ook zeer uiteenlopend zijn – iets dat zich mogelijk laat vertalen in uiteenlopende beveiligingseisen.29

In dit kader moet worden opgemerkt dat het nog niet onomstotelijk vaststaat dat het begrip persoonsgegevens altijd breed moet worden uitgelegd.30 In Y.S. e.a., dat is gewezen voor het hiervoor veel aangehaalde Nowak, leek het HvJ EU van een minder brede definitie uit te gaan. Het oordeelde in deze zaak dat de juridische analyse betreffende de beoordeling van een asielaanvraag weliswaar persoonsgegevens bevat, maar geen persoonsgegeven is, doordat zij slechts informatie geeft over de toepassing van het recht op een concrete situatie.31 Het HvJ EU benoemde daarbij niet dat gegevens vanwege hun doel of gevolg persoonsgegevens kunnen zijn. In Nowak verwijst het bij de bespreking van het begrip persoonsgegevens niet naar Y.S. e.a.. Het is dan ook niet geheel duidelijk of het HvJ EU sinds deze uitspraak standaard een bredere definitie van persoonsgegevens hanteert, of dat het bijvoorbeeld voor asielaanvragen in het bijzonder of juridische analyses in het algemeen nog steeds van een minder brede definitie uitgaat. Wel lijkt het in Nowak een deel van zijn argumentatie uit Y.S. e.a. te herzien. Waar het HvJ EU bij de beantwoording van de vraag of gegevens persoonsgegevens zijn in Y.S. e.a. keek in hoeverre het wenselijk was dat het datasubject de aan deze kwalificatie verbonden rechten kreeg, overweegt het in Nowak nadrukkelijk dat dit geen rol mag spelen. Dit verschil wekt de indruk dat het HvJ EU, in ieder geval gedeeltelijk, een andere visie op het begrip persoonsgegevens heeft gekregen.32

Toon alle voetnoten

Voetnoten

Voetnoten

Zie voor de volledige definitie art. 4 onder 1 AVG.

Art. 4 onder 1 AVG. De term ‘datasubject’ is afgeleid van de Engelse term voor betrokkene; data subject.

Eventueel kunnen ‘natuurlijk persoon’ en ‘geïdentificeerd of identificeerbaar’ nog van elkaar worden onderscheiden (zie bijv. art. 29-werkgroep 2007, WP 136). Omdat de rechtspraak geen aanleiding geeft om dit onderscheid te maken en het in het kader van dit proefschrift ook geen meerwaarde heeft, behandel ik ‘geïdentificeerd of identificeerbaar persoon’ als één element.

De art. 29-werkgroep is naar aanleiding van art. 29 Dataprotectierichtlijn in het leven is geroepen en had een raadgevende rol t.a.v. deze richtlijn. Met de inwerkingtreding van de AVG is de art. 29-werkgroep vervangen door het Europees Comité voor gegevensbescherming, zie art. 94 lid 2 AVG.

Voor de uitleg van het begrip persoonsgegevens is met name art. 29-werkgroep 2007, WP 136 van belang. Omdat de definiëring en uitleg van het begrip persoonsgegevens met de van toepassing wording van de AVG niet is veranderd, geeft dit document ook nu nog belangrijke richtlijnen, die overigens ook veel gelijkenissen vertonen met de hierna besproken uitspraken van het HvJ EU (bijv. t.a.v. ‘alle informatie’, zie art. 29-werkgroep 2007, WP 136, §III.1). Zie hierover en over deze gelijkenissen en over de verschillen Purtova 2018.

HvJ EU 20 december 2017, ECLI:EU:C:2017:994, pt. 34 (Nowak). Zie ook art. 29-werkgroep 2007, WP 136, §III.1.

HvJ EU 20 december 2017, ECLI:EU:C:2017:994, pt. 34 (Nowak).

HvJ EU 20 december 2017, ECLI:EU:C:2017:994, pt. 35 (Nowak).

HvJ EU 20 december 2017, ECLI:EU:C:2017:994, pt. 38 en 44 (Nowak).

10.

HvJ EU 20 december 2017, ECLI:EU:C:2017:994, pt. 37 en (niet expliciet) 40 (Nowak).

11.

Zie art. 29-werkgroep 2007, WP 136, §III.2.

12.

HvJ EU 20 december 2017, ECLI:EU:C:2017:994, pt. 39 (Nowak).

13.

Art. 29-werkgroep 2007, WP 136, §III.2.

14.

HvJ EU 20 december 2017, ECLI:EU:C:2017:994, pt. 39 en 44 (Nowak).

15.

Art. 29-werkgroep 2007, WP 136, §III.2.

16.

De verwerkingen van persoonsgegevens van overleden personen of rechtspersonen vallen niet onder de AVG (preambule AVG, o. 27 resp. o. 14).

17.

Art. 29-werkgroep 2007, WP 136, §3.

18.

Art. 4 onder 1 AVG. Zie ook preambule AVG, o. 26.

19.

HvJ EU 19 oktober 2016, ECLI:EU:C:2016:779, pt. 41 (Breyer).

20.

Preambule AVG, o. 26. Vgl. HvJ EU 19 oktober 2016, ECLI:EU:C:2016:779, pt. 42 (Breyer).

21.

HvJ EU 19 oktober 2016, ECLI:EU:C:2016:779, pt. 46 (Breyer). Zie ook art. 29-werkgroep 2007, WP 136, §3.

22.

HvJ EU 19 oktober 2016, ECLI:EU:C:2016:779, pt. 46 (Breyer).

23.

Peambule AVG, o. 26. Zie ook Handleiding AVG en UAVG, §3.2.4.

24.

Art. 29-werkgroep 2007, WP 136, §3.

25.

Art. 4 onder 5 AVG en preambule AVG, o. 26.

26.

Zie bijv. de discussies die zijn gevoerd over de app CoronaMelder, waarvan het eerst onduidelijk was of zij persoonsgegevens verwerkte of niet (zie bijv. AP 6 augustus 2020, advies op voorafgaande raadpleging COVID-19 notificatie-app, z2020-11824).

27.

Purtova 2018, §3.

28.

Conclusie A-G N. Jääskinen 25 juni 2013, ECLI:EU:C:2013:424, pt. 30 (Google v. Spain).

29.

Art. 32 lid 1 AVG. Zie over dit element verder §6.3.2.

30.

In gelijke zin: Purtova 2018, §4.6; Jansen 2019, §2.3.

31.

HvJ EU 17 juli 2014, ECLI:EU:C:2014:2081, pt. 40-41 (Y.S. e.a.). Zie in gelijke zin, maar dan over procesdossiers, Rb. Rotterdam 21 januari 2020, ECLI:NL:RBROT:2020:515, r.o. 45 (Verzoeker v. De Staat der Nederlanden).

32.

Vergelijk. HvJ EU 17 juli 2014, ECLI:EU:C:2014:2081, pt. 46-48 (Y.S. e.a.) met HvJ EU 20 december 2017, ECLI:EU:C:2017:994, pt. 46 (Nowak). Zie hierover in gelijke zin Purtova 2018, §4.6.2.