ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941 / Vestiging Groningen: 050 209 3499
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

BigDatamaandag deel 3: Persoonsgegevens en gegevensverwerking

Big Data, het begrip waar eindeloos over wordt geschreven en gediscussieerd. Hype of toekomst? Toekomst of realiteit? Wat de speculaties ook zijn, de komende weken zal er een blogserie over Big Data en de juridische impact ervan verschijnen. Want hoewel het combineren van enorme datasets wellicht in een eerste instantie onschuldig lijkt, heeft dit wel degelijk een juridische impact wanneer deze data ook informatie over personen bevat.

In deel 1 van deze blogserie heb ik verteld over wat Big Data nou eigenlijk is en wie er gebruik van maakt. Maar aan het gebruik van Big Data zijn ook grenzen gebonden. Als een database gegevens over personen bevat, is namelijk de Wet bescherming persoonsgegevens van toepassing. Maar wanneer is dit het geval? In deze blog vertel ik daar meer over.

Wat zijn persoonsgegevens nou precies? De wet omschrijft een persoonsgegeven als volgt:
Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.’’

Een persoonsgegeven moet dus aan twee voorwaarden voldoen:
Ten eerste moet het een gegeven over een persoon zijn. Dit hoeft niet altijd in tekst-vorm te zijn. Persoonsgegevens kunnen ook foto’s, camerabeelden of spraakopnames zijn. Gegevens over een rechtspersoon of puur technische gegevens zijn geen persoonsgegevens, deze gegevens zeggen tenslotte niets over een persoon. Een database met enkel technische gegevens valt dus (in de meeste gevallen) niet onder deze wet.

Ten tweede moet het gegeven ertoe leiden dat een persoon herleidbaar is. Herleidbaarheid kan plaatsvinden via direct of indirect herleidbare persoonsgegevens.

Direct herleidbare gegevens, zijn gegevens die de identiteit van een persoon zonder veel omwegen kan vaststellen. Deze gegevens zijn in bepaalde mate uniek waardoor ze een individu met bepaalde zekerheid kunnen identificeren. Hieronder vallen gegevens zoals naam, adres, geboortedatum en de combinatie van deze gegevens.

Indirect herleidbare persoonsgegevens zijn gegevens die weliswaar niet direct naar een persoon herleiden, maar in combinatie met andere gegevens dit wel doen. Aan de hand van enkel een postcode weet je niet bij welke persoon deze hoort, maar in combinatie met een huisnummer of telefoonnummer kun je dit wel achterhalen. Ook een IP-adres , MAC-adres en geolocaties zijn indirect herleidbaar naar een persoon en daarom ook persoonsgegevens.

Vooral een database met alleen maar indirect herleidbare gegevens kan de indruk wekken dat er geen sprake van persoonsgegevens is. Er is aan deze data zelf niet af te lezen over welke personen het gaat. Toch is dit onvoldoende om niet onder de wet te vallen. Het College Bescherming Persoonsgegevens stelt namelijk dat wanneer de mogelijkheid er is om naar een persoon te herleiden, er sprake van persoonsgegevens is. Dankzij geavanceerde data mining tools is het bij Big Data (bijna) altijd mogelijk naar een persoon te herleiden. Wanneer er voldoende databases gecombineerd worden, kan de data aan elkaar gekoppeld worden waardoor herleiding mogelijk is.

Beschik je zelf niet over de juiste databases om deze herleiding mogelijk te maken? Geen probleem volgens het College Bescherming Persoonsgegevens (nu de Autoriteit Persoonsgegevens). Wanneer je zelf niet over voldoende gegevens beschikt om herleiding mogelijk te maken, maar een ander dat met jouw database wel zou kunnen, is er nog steeds sprake van een persoonsgegeven.

Het gaat dus om de mogelijkheid tot identificatie, en niet of deze identificatie daadwerkelijk ooit plaats zal vinden.

Nu kun je in het bezit zijn van databases, maar er eigenlijk niks mee doen. Bijvoorbeeld een oeroude database waar toch nooit iemand in kijkt. Is de Wet bescherming persoonsgegevens dan ook van toepassing? Jazeker. De wet stelt namelijk dat wanneer er persoonsgegevens verwerkt worden, de wet van toepassing is. En verwerken, daar kan werkelijk álles onder vallen. Van het opslaan, tot het verwijderen, van het kopiëren tot het anonimiseren van data. Het slechts in bezit zijn van (Big) databases, maar er nog niks mee doen, valt daarom óók onder de Wbp.

Wat heeft dit tot gevolg voor een (niet-)fervent Big Data gebruiker? Daar volgende week meer over!

Lisette Chew-Meij

Manager privacy

Lisette Chew-Meij is manager van het privacyteam bij ICTRecht. Lisette is gespecialiseerd in de juridische aspecten van privacy en Big Data. Zij houdt zich bezig met ingewikkelde privacyvraagstukken en voert privacyaudits uit bij organisaties.

Daarnaast is zij lid van the International Association of Privacy Professionals (IAPP) en is zij Certified Information Privacy Professional/Europe en United States (CIPP/E en CIPP/US), Certified Information Privacy Manager (CIPM) én Certified Information Privacy Technologist (CIPT).

 


Er zijn 10 reacties

  1. Dag Lisette,

    Uw plaatsing roept bij mij de volgende vragen op:

    Is een bedrijf rechtmatig bezig wanneer het persoonsgegevens anoniem maakt en vervolgens wel exploiteert, zonder toestemming van het individu zelf?

    En maakt het dan ook nog uit aan welke partijen dit door wordt gespeeld? Is een onderzoeksbureau wel geoorloofd, maar een commercieel bedrijf niet?

    Ik kijk met belangstelling uit naar uw reactie,

    B.Bonthuis

    1. Goedemiddag B. Bonthuis,

      Dank voor uw reactie.

      Het is van belang dat het verzamelen van de persoonsgegevens in eerste instantie rechtmatig heeft plaatsgevonden. Indien het bedrijf zich op een van de grondslagen uit de Wbp kan beroepen voor het verzamelen van de gegevens, en zich hierbij aan de aanvullende regels omtrent de verwerking van persoonsgegevens houdt, dan zijn de gegevens rechtmatig verzameld.

      Indien het bedrijf de gegevens vervolgens anonimiseert en deze verstrekt aan derden, is dit slechts toegestaan indien de gegevens écht anoniem zijn. Anonieme gegevens zijn namelijk géén persoonsgegevens meer.

      In bovenstaand geval is er geen toestemming nodig van het individu om de gegevens te verstrekken aan derden, het zijn tenslotte geen persoonsgegevens meer én de gegevens zijn in eerste instantie rechtmatig verzameld.

      Op het moment dat een bedrijf de gegevens niet rechtmatig heeft verzameld en de gegevens vervolgens gaat anonimiseren, dan heeft het bedrijf toestemming van de betrokkenen nodig om deze gegevens te verzamelen en te anonimiseren (tenzij er sprake is van een van de grondslagen uit de wet zoals de uitvoering van een overeenkomst of een gerechtvaardigd belang). Het verzamelen/anonimiseren is namelijk ook een vorm van gegevensverwerking en dit is niet toegestaan indien er geen sprake is van een grondslag waarop deze verwerking gebaseerd mag worden.

      Wat betreft de ontvanger van de gegevens: zolang de gegevens écht anoniem zijn dan maakt het niet uit wie de ontvanger is. De gegevens zijn tenslotte geen persoonsgegevens meer. Op het moment dat de gegevens wél herleidbaar zijn dan kan het verschil maken of er toestemming vereist is voor het verstrekken van de gegevens aan derden.

      Stel dat er een gerechtvaardigd belang is om de gegevens te verstrekken, zoals het doen van onderzoek waarmee een algemeen belang wordt gediend, dan kan geoordeeld worden dat het gerechtvaardigde belang van de ontvanger/verstrekker zwaarder weegt dan het belang van de betrokkenen. Er is dan geen toestemming van de betrokkenen nodig om de gegevens te verstrekken aan derden

      Voor een commercieel belang zal in de meeste gevallen wél toestemming vereist zijn, het privacybelang van de betrokkenen zal dan vaak zwaarder wegen waardoor de gegevens slechts verstrekt mogen worden met de toestemming van de betrokkenen als rechtsgeldige grondslag.

      Ik hoop dat ik op deze manier uw vraag heb beantwoord, zo niet dan hoor ik het graag!

  2. Uw reactie is mij volkomen duidelijk, Dank daarvoor.
    Toch vraag ik mij af of de uitleg ook in het volgende geval opgaat:

    Een partij heeft de gegevens nodig om een dienst of product te kunnen leveren. In eerste instantie komen de gegevens dus binnen om bijvoorbeeld het product in werking te kunnen stellen.

    Wanneer deze gegevens eenmaal binnen zijn, kan het bedrijf de gegevens ook benutten door deze door te spelen aan derden.

    Allereerst worden gegevens verzameld (verwerkt), vervolgens geanonimiseerd (verwerkt) en daarna worden de geanonimiseerde gegevens verkocht (verwerkt). De gegevens worden in het voorgaande dus geanonimiseerd, verwerkt, om er uiteindelijk een commercieel doel mee te dienen.. Kan het bedrijf in het voorgaande de gegevens verwerken zonder toestemming van het individu waar de gegevens betrekking op hebben.

    Ik kijk met belangstelling uit naar uw reactie.

    Met vriendelijke groet,

    B. Bonthuis

    1. Goedemiddag B. Bonthuis,

      Dank voor uw antwoord.

      Indien de gegevens rechtmatig verkregen zijn, dus bijvoorbeeld voor de uitvoering van de overeenkomst zoals in uw voorbeeld, dan kunnen de gegevens inderdaad geanonimiseerd en doorverkocht worden aan een derde partij. De gegevens zijn namelijk na het anonimiseren geen persoonsgegevens meer. Het bedrijf verkoopt in dat geval slechts niet-herleidbare data, en dit is geen vorm van gegevensverwerking. Het zijn vaak de persoonsgegevens die waardevol zijn voor partijen, maar deze worden niet doorverkocht. De gegevens zijn tenslotte anoniem.

      Zoals eerder aangegeven is het wél van belang dat de gegevens daadwerkelijk anoniem zijn, en dus niet herleidbaar tot een persoon (dit blijkt vaak niet eenvoudig te zijn). Wanneer dit niet het geval is, is het inderdaad niet toegestaan de gegevens zomaar door de te verkopen.

      Met vriendelijke groet,

      Lisette Meij

  3. Beste memvrouw Meij,

    U geeft aan dat de gegevens na het anonimiseren geen persoongegevens meer zijn. Maar het anonimiseren van persoonsgegeven is an sich toch te kwalificeren als het verwerken van persoonsgegevens en dit mag dan toch uitlsluitend voor de doeleinden waarvoor je de gegevens initieel hebt ontvangen? En dus niet voor commerciele doeleinden? Ik zie inderdaad geen probleem in het verkopen van anonieme gegevens, maar wel aan het verwerken van persoonsgegevens tot anonieme gegevens voor doelienden die niet zijn gelegetimeerd? Zie ik dit verkeerd?

    1. Beste D. Cetinkaya,

      Dat is correct en dat ziet u dus juist. Zie ook bovenstaand antwoord op de heer Bonthuis:

      Het is van belang dat het verzamelen van de persoonsgegevens in eerste instantie rechtmatig heeft plaatsgevonden. Indien het bedrijf zich op een van de grondslagen uit de Wbp kan beroepen voor het verzamelen van de gegevens, en zich hierbij aan de aanvullende regels omtrent de verwerking van persoonsgegevens houdt, dan zijn de gegevens rechtmatig verzameld.

      Indien het bedrijf de gegevens vervolgens anonimiseert en deze verstrekt aan derden, is dit slechts toegestaan indien de gegevens écht anoniem zijn. Anonieme gegevens zijn namelijk géén persoonsgegevens meer.

      In bovenstaand geval is er geen toestemming nodig van het individu om de gegevens te verstrekken aan derden, het zijn tenslotte geen persoonsgegevens meer én de gegevens zijn in eerste instantie rechtmatig verzameld.

      Op het moment dat een bedrijf de gegevens niet rechtmatig heeft verzameld en de gegevens vervolgens gaat anonimiseren, dan heeft het bedrijf toestemming van de betrokkenen nodig om deze gegevens te verzamelen en te anonimiseren (tenzij er sprake is van een van de grondslagen uit de wet zoals de uitvoering van een overeenkomst of een gerechtvaardigd belang). Het verzamelen/anonimiseren is namelijk ook een vorm van gegevensverwerking en dit is niet toegestaan indien er geen sprake is van een grondslag waarop deze verwerking gebaseerd mag worden.

  4. Beste,
    In welke mate zijn persoonsgegevens bedrijfsgegevens?
    Maw geld dit voor business to business eveneens?
    Een bedrijfsemail en direct bedrijfstelefoonnumer doorverkooen mag een persoonlijk email adres of gsm nummer niet?
    Wat dan met al deze Telemarketing agencies die contactgegevens en business leads verkopen?

    1. Beste B. Roos,

      Bedrijfsgegevens zijn over het algemeen geen persoonsgegevens, tenzij ze herleiden tot een individu. Een e-mailadres van een individuele werknemer is een persoonsgegeven, terwijl het algemene e-mailadres zoals info@ dit niet is. Hetzelfde geldt voor het mobiele nummer van een individuele werknemer, terwijl het algemene telefoonnummer van het bedrijf geen persoonsgegeven is.

      Er kan overigens ook geoordeeld worden dat de bedrijfsgegevens van een eenmanszaak persoonsgegevens zijn, omdat deze gegevens herleiden tot een individu.

      Om deze gegevens door te verkopen zal er dus een grondslag uit de wet aanwezig moeten zijn, zoals toestemming van de werknemer of een gerechtvaardigd belang. Ga je deze e-mailadressen commerciële mailings sturen zonder toestemming, dan zal dit beschouwd worden als spam (indien er geen toestemming is, of indien de werknemer klant is en er geen opt-out is aangeboden).

  5. Goedendag,
    Bij ons bedrijf worden de zakelijke e-mail adressen van onze medewerkers door de OR gebruikt om vraag- en antwoord sessies te starten over bepaalde zaken die binnen de organisatie spelen. Een goed initiatief maar de OR heeft alle zakelijke e-mail adressen doorgestuurd naar een externe partij. Nadat je een vraag hebt gesteld, via een webpagina van een externe partij, over een onderwerp krijg je via de mail van deze externe partij een vervolg verzoek. Mag de OR dit zomaar doen zonder toestemming van de medewerkers?

    1. Beste Joop,

      E-mailadressen van medewerkers zijn ook persoonsgegevens, aan de doorgifte hiervan zijn dus bepaalde regels verbonden.

      Aan de hand uw vraag kan ik niet direct beoordelen of de doorgifte in dit geval rechtmatig is. Vinden de vraag- en antwoord sessies plaats in het kader van de uitvoering van de dagelijkse werkzaamheden van de medewerkers? Dan kan het mogelijk zijn dat de gegevens worden doorgegeven.

      Op het moment dat hiervoor een externe partij wordt ingeschakeld, moeten er wel de juiste afspraken gemaakt worden met deze partij. Denk hierbij aan een bewerkersovereenkomst waarbij de voorwaarden voor het gebruik van de gegevens zijn opgenomen.

      Mocht u nog vragen hebben, laat het mij dan gerust weten!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *