Wat zijn persoonsgegevens? (met voorbeelden)

De definitie uit de AVG

Artikel 4, lid 1 van de AVG definieert persoonsgegevens als: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.” Identificeerbaar betekent dat je de persoon direct of indirect kunt identificeren — ook via een combinatie van gegevens die apart niet herleidbaar zijn.

Twee belangrijke afbakeningen: de AVG geldt alleen voor levende personen (niet voor overledenen) en alleen voor natuurlijke personen (niet voor rechtspersonen zoals een BV of stichting). Gegevens over een bedrijf zijn dus geen persoonsgegevens — tenzij het om een eenmanszaak gaat en de eigenaar daarmee identificeerbaar is.

Voorbeelden van persoonsgegevens

De volgende gegevens zijn in vrijwel alle gevallen persoonsgegevens:

• Naam, adres, telefoonnummer en e-mailadres
• Geboortedatum en leeftijd
• BSN (burgerservicenummer)
• IP-adres en cookie-ID's
• Locatiegegevens van een telefoon of navigatiesysteem
• Foto's en video's waarop een persoon herkenbaar in beeld is
• Bankrekeningnummer en creditcardgegevens
• Klantprofielen in een CRM-systeem

Ook indirecte gegevens kunnen persoonsgegevens zijn: een klantnummer dat via een database te koppelen is aan een naam, of een combinatie van postcode + geboortejaar + geslacht die samen voldoende zijn om iemand uniek te identificeren.

Bijzondere categorieën persoonsgegevens

De AVG kent een zwaarder beschermingsregime voor “bijzondere categorieën” van persoonsgegevens. Voor de verwerking hiervan gelden extra vereisten en is in de meeste gevallen uitdrukkelijke toestemming nodig:

• Ras of etnische afkomst
• Politieke opvattingen
• Religieuze of levensbeschouwelijke overtuigingen
• Lidmaatschap van een vakbond
• Genetische en biometrische gegevens
• Gezondheidsgegevens
• Gegevens over seksuele geaardheid of seksleven

Geanonimiseerd vs. gepseudonimiseerd

Geanonimiseerde gegevens zijn onomkeerbaar ontkoppeld van een persoon — ze vallen buiten de AVG. In de praktijk is echte anonimisering moeilijk: zelfs een geanonimiseerde dataset kan via combinatie met andere bronnen toch herleidbaar blijken.

Gepseudonimiseerde gegevens zijn vervangen door een alias of code, maar de koppelingstabel bestaat nog. Ze blijven persoonsgegevens en vallen gewoon onder de AVG. Pseudonimisering is wél een goede beveiligingsmaatregel die de AVG aanbeveelt (Artikel 25).

Wanneer verwerk jij als ondernemer persoonsgegevens?

Vrijwel elke ondernemer verwerkt persoonsgegevens — ook zonder dat je het direct zo noemt. Voorbeelden:

• Je hebt een contactformulier op je website → IP-adressen en namen worden opgeslagen
• Je stuurt facturen → naam, adres en bankrekeningnummer van je klant
• Je gebruikt Google Analytics → bezoekersgedrag en IP-adressen
• Je beheert een klantenlijst of CRM → namen, e-mailadressen, aankoophistorie
• Je hebt personeel → loonstroken, arbeidscontracten, ziekteverzuim

Zodra je persoonsgegevens verwerkt, ben je verplicht een privacyverklaring te publiceren. Lees ook: is een privacyverklaring verplicht?