Skip to main content

De context van (persoons)gegevens

| IB&P | ,

Op donderdag 6 juli bezocht ik een interessante bijeenkomst, georganiseerd door de VPR. Meer info kan je hier vinden. De bijeenkomst, getiteld ““Onder Privacy Professoren” vond plaats in het (mooie!) Kamerlingh Onnes Gebouw van de Universiteit Leiden. Drie hoogleraren Peter Blok, Gerrit-Jan Zwenne en Lokke Moerel gingen nader in op drie onderwerpen uit de AVG: definities (Gerrit-Jan Zwenne), de rechten van de betrokkene (Lokke Moerel) en handhaving (Peter Blok). Ik begon bij Peter en kwam via Lokke uit bij Gerrit-Jan.

Definities

Dit is een blog naar aanleiding van de presentatie van Gerrit-Jan Zwenne. De context van (persoons)gegevens: waarom het antwoord op de vraag “Gaat het om persoonsgegevens?” niet altijd makkelijk te geven is. Gerrit-Jan begon zijn presentatie met de fundamentele vraag: wat zijn persoonsgegevens? Het antwoord zal u bekend zijn: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Identificatie kan direct of indirect plaatsvinden met name aan de hand van:

  • een identificator met het BSN als meest bekende voorbeeld
  • één of meer elementen die kenmerkend zijn voor de identiteit

Onder identificeren verstaan we doorgaans: ‘vaststellen wie iemand is, ‘aantonen wie je bent’ of ‘(zich) voorstellen dat hij een ander is’. Aan de hand van diverse opinies en stukken toont Gerrit-Jan op treffende wijze aan dat identificeren onder de AVG níet gelijk staat aan ‘single-out’. Vervolgens slaat hij de brug naar het (dynamisch) IP-adres en het kenteken. We hebben het dan over identificeerbare (natuurlijke) personen, en niet geïdentificeerde (natuurlijke) personen

Veelgestelde vraag

Een vraag die ik vaak krijg bij het geven van presentaties en workshops over privacy(wetgeving) is: “Is [vul maar in] een persoonsgegeven?” Als adviseur stel ik mezelf dan de hierboven genoemde vraag: gaat het wel om persoonsgegevens? Immers, indien het antwoord op die vraag nee is, dan is de Wbp/AVG niet van toepassing.

  • Is het BSN een persoonsgegeven? Ja, dit is een identificator op basis waarvan identificaties kán plaatsvinden.
  • Is een dynamisch IP-adres een persoonsgegeven? Ja, dit is een identificator op basis waarvan identificaties kán plaatsvinden.
  • Is een kenteken een persoonsgegeven?Ja, dit is een identificator op basis waarvan identificaties kán plaatsvinden.

Dat streepje op de a in kan is natuurlijk geen toeval. Het antwoord is in veel gevallen genuanceerder dan een simpel ja of nee. Gerrit-Jan neemt ons mee in het Breyer arrest waarin Europese Hof van Justitie (HvJ EU) oordeelt dat een dynamische IP-adres een persoonsgegeven kan zijn. Weer dat woordje kan. Waarom niet gewoon ja of nee?

Terechte weerstand

Het merendeel van de mensen die ik spreek over het onderwerp privacy maakt het allemaal niet zoveel uit. De een weet dat de onderbouwen, de ander boeit het gewoon weinig. In welke groep u ook zit, de vraag die u vast wel eens gesteld heeft: hoe kan ik nu geïdentificeerd worden op basis van mijn BSN/dynamisch IP-adres/kenteken? Immers, wanneer iemand anders uitsluitend beschikt over één van deze gegevens, hoe ben ik dan te identificeren? Terug naar de AVG:

Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken.

Kortom: hoe kansrijk is iemand die jou wil identificeren op basis van dit (persoons)gegeven? Nou, bij een BSN behoorlijk kansrijk, oordeelt de Autoriteit Persoonsgegevens. Ze zegt er dit over. Graag vestig ik voor nu hier de aandacht op het dynamisch IP-adres en het kenteken.

Wettige middelen

Wederom citeer ik uit de presentatie van Gerrit-Jan:

[E]en dynamisch IP-adres dat door een aanbieder van onlinemediadiensten wordt geregistreerd telkens als een persoon een website bezoekt die door deze aanbieder toegankelijk wordt gemaakt  voor het publiek, ten aanzien van die aanbieder [vormt] een persoonsgegeven [..], wanneer hij beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust.

Dus, het dynamisch IP-adres is een persoonsgegeven wanneer de aanbieder van de website (in deze zaak is dat de context) beschikt over de wettige middelen om op basis van aanvullende informatie tot identificatie te komen. Herinner je bovenstaande definitie: “(…) middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt (…)”.

Nu het tweede voorbeeld (zie deze uitspraak):

Uitgaande van de definitie van artikel 1, onderdeel a, Wbp vormt een kentekengegeven voor de heffingsambtenaar in beginsel wel een persoonsgegeven, omdat hij via Cition de beschikking krijgt over onversleutelde kentekengegevens van voertuigen die binnen de Gemeente Amsterdam geparkeerd zijn en die door hem, na gegevensverstrekking door de RDW, aan een natuurlijk persoon kunnen worden gerelateerd.

Dus, het kenteken is een persoonsgegeven wanneer de gemeente (in deze zaak is dat de context) beschikt over de wettige middelen om op basis van aanvullende informatie tot identificatie te komen. Je mag er hier redelijkerwijs vanuit gaan dat het middel ‘Cition’ hier gebruikt kan (zal) worden voor identificatie.

Conclusie

In de praktijk van bewustwordingssessies wist ik altijd wel antwoord te geven op de bovengenoemde vragen, maar na de uiteenzetting van Gerrit-Jan kan dat ook met de nodige scherpte. Een dynamisch IP-adres dat mijn webserver vastlegt tijdens het lezen van deze blog is geen persoonsgegeven omdat ik niet over de wettige middelen beschik om de extra informatie te koppelen die nodig is voor identificatie. Mijn internetprovider XS4all zal deze informatie niet aan mij beschikbaar stellen.Een kenteken is evenmin een persoonsgegeven in mijn handen.

Context bepaalt wat wel en wat niet een persoonsgegeven is. In menig geval is dat vlot helder, in menig geval niet. Met bovenstaande duiding is dat onderscheid hopelijk wat vlotter te maken. En ik weet het; mensen vinden het niet leuk wanneer je antwoordt: “Dat ligt er aan…”. Maar ja.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…