Definitie persoonsgegeven
In dit deel van de serie over privacyrecht in de zorg zal worden ingegaan op het begrip “persoonsgegeven“. Voor de andere delen kunt u hier klikken.
“Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.”1
De bovenstaande definitie is afkomstig uit de AVG en is beduidend langer dan de definitie die te vinden is in de Wbp:
“Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.”2
Zo stelt de AVG dat niet alleen een enkel gegeven een persoonsgegeven kan zijn (zoals een naam), maar ook een combinatie van gegevens een persoonsgegeven kan opleveren. Daarnaast maakt de AVG onderscheid tussen directe en indirecte identificeerbaarheid van een persoon. De letterlijke definitie mag dan aanzienlijk langer zijn, inhoudelijk is er weinig gewijzigd.
Belangrijk in de nieuwe definitie is het begrip geïdentificeerd. Is een persoon aan de hand van een gegeven identificeerbaar, dan vloeit daaruit voort dat dit gegeven een persoonsgegeven is en derhalve de AVG van toepassing is. Dit begrip geeft de bovengrens aan. Hiermee wordt bedoeld dat wanneer een persoon geïdentificeerd is, diegene bijvoorbeeld direct bij naam te noemen is.
Er lijkt een trend gaande te zijn waarin het vereiste van een persoonsgegeven wordt verplaatst van identificeerbaar naar individualiseerbaar. De AVG spreekt slechts over identificeerbaar en niet over individualiseerbaar. Het verschil tussen beide begrippen ligt in het feit dat in het geval een persoon individualiseerbaar is, diegene anoniem is. Er is dan wel iemand geïndividualiseerd, maar wie dat precies is, is onbekend. Dit in tegenstelling tot het feit dat een persoon geïdentificeerd is. Diegene is in dat geval niet meer anoniem. De scheidslijn tussen beide begrippen ligt in het antwoord op de vraag in hoever een persoon met wettige middelen kan worden geïdentificeerd.
Hoe wordt nu vastgesteld wanneer gegevens een persoon of groep kunnen identificeren, oftewel, wanneer is een gegeven een persoonsgegeven? Dit gebeurt voornamelijk aan de hand van de aard van de gegevens en de mogelijkheden om identificatie tot stand te brengen.
Aard van de gegevens
Gegevens die betrekking hebben op de persoon (bijvoorbeeld de naam) verschillen in aard vergeleken met gegevens die geen of een indirecte betrekking hebben op een persoon. Hierbij kan een onderscheid worden gemaakt tussen direct en indirect identificeerbare gegevens. Om te bepalen of een gegeven direct of indirect identificeerbaar is, of dat een gegeven betrekking heeft op een persoon, hangt af van de omstandigheden van het geval. Een veel voorkomende familienaam is niet voldoende om iemand te identificeren, terwijl dezelfde naam wellicht wel voldoende is om een leerling te identificeren binnen een klas.
Van direct identificeerbare gegevens is sprake wanneer gegevens betrekking hebben op een persoon waarvan de identiteit zonder veel omwegen eenduidig vast te stellen is. Direct identificeerbare gegevens zijn gegevens zoals naam, adres en geboortedatum, die in combinatie met elkaar dermate uniek en dus kenmerkend zijn voor een bepaalde persoon dat deze in brede kring met zekerheid of met een grote mate van waarschijnlijkheid kan worden geïdentificeerd. Dergelijke gegevens worden in het maatschappelijk verkeer ook gebruikt om personen van elkaar te onderscheiden.
Indirect identificeerbare gegevens kunnen zijn ontdaan van de naam, doch onder omstandigheden door combinatie met andere gegevens weer worden teruggebracht tot een bepaalde persoon. Het verwijderen van de direct identificeerbare kenmerken biedt op zichzelf niet altijd voldoende garantie dat er geen sprake meer is van persoonsgegevens. Door middel van spontane herkenning, vergelijking van gegevens en/of koppeling aan gegevens uit andere bronnen, kan immers desondanks, soms zonder bijzonder inspanning, identificatie tot stand worden gebracht. Is echter het risico van spontane herkenning redelijkerwijs uitgesloten, dan kan worden aangenomen dat er geen sprake is van persoonsgegevens.3 Het is niet nodig dat de mogelijkheid van spontane herkenning absoluut wordt uitgesloten.
Mogelijkheden om identificatie tot stand te brengen
In het geval de vraag moet worden beantwoord of een IP-adres een persoonsgegeven is, zal de eerste conclusie zijn dat dit IP-adres als zodanig geen persoonsgegeven is. Het IP-adres heeft geen betrekking op een geïdentificeerde persoon. Uit dit adres blijkt immers niet rechtstreeks de identiteit van de natuurlijke persoon die eigenaar is van de computer van dat IP-adres, er is meer voor nodig.
Omdat er meer voor nodig is om een persoon te identificeren, moet worden gekeken welke wettige middelen iemand heeft om een persoon achter het IP-adres te identificeren aan de hand van extra middelen. In het geval van het IP-adres kan een verzoek worden gedaan aan de Internet Service Provider (ISP) en de naam worden opgevraagd van degene die op een bepaalde datum een IP-adres in gebruik had. Met deze extra informatie, die in het bezit is van de ISP, kan een IP adres ten aanzien van deze omstandigheid als een persoonsgegeven worden gekwalificeerd.4
De Autoriteit Persoonsgegevens (AP) houdt er echter een nog ruimere definitie van het begrip persoonsgegeven op na. De AP is van mening dat ook gegevens die een persoon kunnen individualiseren, maar die niet identificerend van aard zijn, moeten worden aangemerkt als een persoonsgegeven.5 De AP is van mening dat een gegeven een persoonsgegeven betreft als door gebruik van dit gegeven een bepaald persoon kan worden onderscheiden van anderen. Er is echter geen duidelijke jurisprudentie die stelt dat het individualiseerbaarheidsvereiste voldoende is om te spreken over persoonsgegevens. Gezien de technologische voortgang en de mate waarin gegevens door bijvoorbeeld Google en Facebook worden verzameld, is er echter zeker een kans aanwezig dat de ondergrens wordt verschoven van identificeerbaar naar individualiseerbaar.
Deze ondergrens kan aan de hand van het volgende voorbeeld worden geïllustreerd. Hierbij is het mogelijk dat een persoon bijvoorbeeld niet bekend is bij naam of adres, maar wel dat het iemand betreft die:
- woonachtend is in een bepaald gebied van 100m2 in Amsterdam;
- tussen de 25 en 30 jaar is;
- technisch geschoold is op HBO-niveau;
- het een man betreft;
- die Nederlands, Engels en Frans spreekt; en
- bepaalde interesses heeft zoals laptops, Mac OS, films, fitness.6
Wanneer deze gegevens bekend zijn, zal het duidelijk zijn dat dit slechts betrekking heeft op een individu, dan wel een zeer beperkte groep mensen. Aan het vereiste dat de AP hanteert, namelijk individualiseerbaarheid, is hiermee voldaan. Er kan een individu worden onderscheiden van anderen. De identiteit van deze individu zal voor velen echter onbekend zijn. Google of Facebook zullen wellicht wel dit individu kunnen identificeren aan de hand van de gegevens die zij hebben verzameld.
Als de AP wordt gevolgd in zijn beredenering, zal voor gemiddelde inwoners van Amsterdam deze gegevens worden aangemerkt als persoonsgegevens. Wanneer echter de huidige jurisprudentie wordt gevolgd, zal het geen persoonsgegeven betreffen wanneer een gemiddelde inwoner van Amsterdam deze gegevens verwerkt. Voor Google of Facebook zullen deze gegevens echter ook volgens de jurisprudentie worden aangemerkt als een persoonsgegeven. Hetzelfde geldt voor anderen, die met behulp van Google, Facebook of andere wettige middelen deze individu kan identificeren. In dat geval zullen ook voor deze andere de gegevens worden gekwalificeerd als persoonsgegevens.
Om te bepalen welke mogelijkheden er zijn om identificatie tot stand te brengen, moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door enig persoon zijn in te zetten om die persoon te identificeren.7 Uitgegaan moet worden van een redelijk toegeruste persoon. In concrete gevallen moet echter wel rekening worden gehouden met bijzondere expertise, technische faciliteiten en dergelijke van diegene.
Een onderzoeksinstituut als het CBS zal bijvoorbeeld, gelet op zijn expertise, contacten en technische outillage, eerder in staat zijn gegevens te identificeren dan een individuele onderzoeker. Ook een zorgverzekeraar zal met slechts DBC-prestatiecodes die vermeld moeten worden op een zorgdeclaratie een enkel individu kunnen herleiden.8 Deze omstandigheid dient in de beoordeling of sprake is van een persoonsgegeven, te worden meegewogen.
Geanonimiseerde en gepseudonimiseerde gegevens
Een van de mogelijkheden om uit te sluiten dat gegevens persoonsgegevens betreffen, is het anonimiseren van deze gegevens. Het verschil tussen anonimiseren en pseudonimiseren ligt in het feit dat gepseudonimiseerde gegevens kunnen worden beschouwd als gegevens die indirect herleidbaar zijn tot een persoon.9 Geanonimiseerde gegevens zijn niet (indirect) herleidbaar tot een persoon en de AVG is dientengevolge niet van toepassing op deze gegevens. De middelen waarmee iemand gepseudonimiseerde gegevens kan verzamelen en bijvoorbeeld aggregeren is, zoals reeds vermeld, van belang om te bepalen of een gegeven een persoonsgegeven is of niet.
Een organisatie kan bijvoorbeeld gegevens ontdoen van de direct identificerende kenmerken en deze onderbrengen bij een derde dan wel een derde de sleutel geven die toegang geeft tot deze gegevens. De vraag of in een dergelijk geval al dan niet gesproken kan worden van persoonsgegevens is afhankelijk van de mate waarin medewerking van de betrokken derde verwacht mag worden. Indien degene die de code heeft opgesteld is onderworpen aan een geheimhoudingsplicht die, naar uit de praktijk is gebleken, daadwerkelijk wordt gehandhaafd, kan in de regel ervan worden uitgegaan dat er onvoldoende feitelijke mogelijkheden zijn tot daadwerkelijke identificatie. Is de code echter zonder veel moeite of met eenvoudige omzeiling van waarborgen te verkrijgen door de verantwoordelijke, dan is er sprake van identificeerbaarheid en dus van persoonsgegevens. De feitelijke situatie, niet de juridische constructie, is bepalend voor de toepasselijkheid.
Als identificatie van de betrokkene niet tot het doel van de verwerking behoort, wordt een zeer belangrijke rol gespeeld door de technische maatregelen die identificatie moeten voorkomen.10 Het inzetten van geschikte technische en organisatorische maatregelen, volgens de laatste stand van de techniek, om mogelijke identificatie te voorkomen, kan ertoe leiden dat de betrokkenen niet meer identificeerbaar zijn wanneer rekening wordt gehouden met alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn voor de identificatie van de betrokkenen.
Praktisch gezien is het anonimiseren van persoonsgegevens zeer lastig; het resultaat van anonimisering als op persoonsgegevens toegepaste techniek volgens de huidige stand van de techniek moet even permanent zijn als uitwissen, dus dat de verwerking van persoonsgegevens voorgoed onmogelijk wordt gemaakt. Dit blijkt in de praktijk echter uitzonderlijk moeilijk te bewerkstelligen te zijn.
Wanneer blijkt dat, gelet op het voorgaande, de identificatie van de betrokkene ondoenlijk is en een excessieve inspanning vergt, zal er geen sprake zijn van pseudonimisering, maar van anonimisering.11
Conclusie
Er kan geconcludeerd worden dat het begrip persoonsgegeven inhoudelijk niet wordt gewijzigd door de AVG. Er is momenteel een trend gaande vanuit de AP dat het begrip persoonsgegeven lijkt op te rekken van identificeerbaar naar individualiseerbaar. Duidelijke moge zijn dat gegevens in sommige gevallen kunnen worden aangemerkt als persoonsgegevens, omdat aan de hand van extra middelen een individu kan worden geïdentificeerd, terwijl deze identificatie in andere gevallen niet mogelijk is.
Gekeken kan worden naar de aard van de gegevens en de mogelijkheden om identificatie tot stand te brengen, om te toetsen of een gegeven een persoonsgegeven is. Echter, gezien de hedendaagse computerkracht is het relatief eenvoudig om gegevens die op het eerste gezicht onschuldige gegevens lijken te zijn en geen enkele link hebben met een persoon, te aggregeren met andere gegevens, waardoor toch individuelen personen kunnen worden herleid. Om dit tegen te gaan kan men deze gegevens pseudonimiseren of anonimiseren. Gezien het feit dat anonimiseren zeer lastig is, zullen gegevens snel worden gezien als persoonsgegevens.
- Artikel 4 lid 1 AVG.
- Artikel 1 sub a Wbp.
- Zie voorts Artikel 29 Werkgroep, ”Advies 4/2007 over het begrip persoonsgegeven”, 20 juni 2007, p. 14.
- HvJ EU 19 oktober 2016, C-582/14 (Breyer).
- Cbp, 27 oktober 2008, z2008-01174, p. 3; Cbp, 29 april 2014, Z2012-00811, p. 15 – 16.
- Zie soortgelijke gegevens op http://royjanssen.com/google-advertentie-profiel/.
- Kamerstukken II 1997/98, 25892, nr. 3, p. 48; Overweging 26 Richtlijn 95/46/EG.
- Cbb, 02-08-2010, NJB 2010, 1621, ECLI:NL:CBB:2010:BN3056, r.o. 2.4.4.4.
- Artikel 29 Werkgroep, ”Advies 4/2007 over het begrip persoonsgegeven”, 20 juni 2007, p. 19.
- Artikel 29 Werkgroep, ”Advies 4/2007 over het begrip persoonsgegeven”, 20 juni 2007, p. 18.
- HvJ EU 19 oktober 2016, C-582/14 (Breyer), r.o. 46.