Op donderdag 6 juli bezocht ik een interessante bijeenkomst, georganiseerd door de VPR. Meer info kan je hier vinden. De bijeenkomst, getiteld ““Onder Privacy Professoren” vond plaats in het (mooie!) Kamerlingh Onnes Gebouw van de Universiteit Leiden. Drie hoogleraren Peter Blok, Gerrit-Jan Zwenne en Lokke Moerel gingen nader in op drie onderwerpen uit de AVG: definities (Gerrit-Jan Zwenne), de rechten van de betrokkene (Lokke Moerel) en handhaving (Peter Blok). Ik begon bij Peter en kwam via Lokke uit bij Gerrit-Jan.
Definities
Dit is een blog naar aanleiding van de presentatie van Gerrit-Jan Zwenne. De context van (persoons)gegevens: waarom het antwoord op de vraag “Gaat het om persoonsgegevens?” niet altijd makkelijk te geven is. Gerrit-Jan begon zijn presentatie met de fundamentele vraag: wat zijn persoonsgegevens? Het antwoord zal u bekend zijn: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Identificatie kan direct of indirect plaatsvinden met name aan de hand van:
- een identificator met het BSN als meest bekende voorbeeld
- één of meer elementen die kenmerkend zijn voor de identiteit
Onder identificeren verstaan we doorgaans: ‘vaststellen wie iemand is, ‘aantonen wie je bent’ of ‘(zich) voorstellen dat hij een ander is’. Aan de hand van diverse opinies en stukken toont Gerrit-Jan op treffende wijze aan dat identificeren onder de AVG níet gelijk staat aan ‘single-out’. Vervolgens slaat hij de brug naar het (dynamisch) IP-adres en het kenteken. We hebben het dan over identificeerbare (natuurlijke) personen, en niet geïdentificeerde (natuurlijke) personen.
Veelgestelde vraag
Een vraag die ik vaak krijg bij het geven van presentaties en workshops over privacy(wetgeving) is: “Is [vul maar in] een persoonsgegeven?” Als adviseur stel ik mezelf dan de hierboven genoemde vraag: gaat het wel om persoonsgegevens? Immers, indien het antwoord op die vraag nee is, dan is de Wbp/AVG niet van toepassing.
- Is het BSN een persoonsgegeven? Ja, dit is een identificator op basis waarvan identificaties kán plaatsvinden.
- Is een dynamisch IP-adres een persoonsgegeven? Ja, dit is een identificator op basis waarvan identificaties kán plaatsvinden.
- Is een kenteken een persoonsgegeven?Ja, dit is een identificator op basis waarvan identificaties kán plaatsvinden.
Dat streepje op de a in kan is natuurlijk geen toeval. Het antwoord is in veel gevallen genuanceerder dan een simpel ja of nee. Gerrit-Jan neemt ons mee in het Breyer arrest waarin Europese Hof van Justitie (HvJ EU) oordeelt dat een dynamische IP-adres een persoonsgegeven kan zijn. Weer dat woordje kan. Waarom niet gewoon ja of nee?
Terechte weerstand
Het merendeel van de mensen die ik spreek over het onderwerp privacy maakt het allemaal niet zoveel uit. De een weet dat de onderbouwen, de ander boeit het gewoon weinig. In welke groep u ook zit, de vraag die u vast wel eens gesteld heeft: hoe kan ik nu geïdentificeerd worden op basis van mijn BSN/dynamisch IP-adres/kenteken? Immers, wanneer iemand anders uitsluitend beschikt over één van deze gegevens, hoe ben ik dan te identificeren? Terug naar de AVG:
Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken.
Kortom: hoe kansrijk is iemand die jou wil identificeren op basis van dit (persoons)gegeven? Nou, bij een BSN behoorlijk kansrijk, oordeelt de Autoriteit Persoonsgegevens. Ze zegt er dit over. Graag vestig ik voor nu hier de aandacht op het dynamisch IP-adres en het kenteken.
Wettige middelen
Wederom citeer ik uit de presentatie van Gerrit-Jan:
[E]en dynamisch IP-adres dat door een aanbieder van onlinemediadiensten wordt geregistreerd telkens als een persoon een website bezoekt die door deze aanbieder toegankelijk wordt gemaakt voor het publiek, ten aanzien van die aanbieder [vormt] een persoonsgegeven [..], wanneer hij beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust.
Dus, het dynamisch IP-adres is een persoonsgegeven wanneer de aanbieder van de website (in deze zaak is dat de context) beschikt over de wettige middelen om op basis van aanvullende informatie tot identificatie te komen. Herinner je bovenstaande definitie: “(…) middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt (…)”.
Nu het tweede voorbeeld (zie deze uitspraak):
Uitgaande van de definitie van artikel 1, onderdeel a, Wbp vormt een kentekengegeven voor de heffingsambtenaar in beginsel wel een persoonsgegeven, omdat hij via Cition de beschikking krijgt over onversleutelde kentekengegevens van voertuigen die binnen de Gemeente Amsterdam geparkeerd zijn en die door hem, na gegevensverstrekking door de RDW, aan een natuurlijk persoon kunnen worden gerelateerd.
Dus, het kenteken is een persoonsgegeven wanneer de gemeente (in deze zaak is dat de context) beschikt over de wettige middelen om op basis van aanvullende informatie tot identificatie te komen. Je mag er hier redelijkerwijs vanuit gaan dat het middel ‘Cition’ hier gebruikt kan (zal) worden voor identificatie.
Conclusie
In de praktijk van bewustwordingssessies wist ik altijd wel antwoord te geven op de bovengenoemde vragen, maar na de uiteenzetting van Gerrit-Jan kan dat ook met de nodige scherpte. Een dynamisch IP-adres dat mijn webserver vastlegt tijdens het lezen van deze blog is geen persoonsgegeven omdat ik niet over de wettige middelen beschik om de extra informatie te koppelen die nodig is voor identificatie. Mijn internetprovider XS4all zal deze informatie niet aan mij beschikbaar stellen.Een kenteken is evenmin een persoonsgegeven in mijn handen.
Context bepaalt wat wel en wat niet een persoonsgegeven is. In menig geval is dat vlot helder, in menig geval niet. Met bovenstaande duiding is dat onderscheid hopelijk wat vlotter te maken. En ik weet het; mensen vinden het niet leuk wanneer je antwoordt: “Dat ligt er aan…”. Maar ja.
- Gegevens 100.000 inwoners Amersfoort gelekt na hack bij softwareleverancier - 12 december 2024
- Logius: Begin op tijd met nieuwe certificaten - 12 december 2024
- Engelse ziekenhuizen vallen wegens cyberincident terug op pen en papier - 11 december 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Training
Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!