Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.[1] Een persoon is geïdentificeerd wanneer deze uniek van alle andere personen binnen een groep te onderscheiden is.[2] Een persoon is identificeerbaar wanneer deze nog niet geïdentificeerd is, maar dit zonder onevenredige inspanning wel mogelijk is.[2] Personen kunnen geïdentificeerd worden aan de hand van indicatoren zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.[1] Deze gegevens kunnen bestaan uit tekst, beeld en geluid en de definitie "natuurlijke persoon" sluit rechtspersonen en overledenen uit.[3] Dit geldt ook voor zaken, roerende en onroerende zaken die eigendom zijn van natuurlijke personen, hoewel de gegevens geen persoonsgegevens zijn als deze uitsluitend naar zo'n object kunnen leiden, dus niet diens eigenaar.[3] Persoonsgegevens vallen in de privésfeer, een begrip dat in die zin terugkomt in de Nederlandse en Belgische Grondwet, het Europees Verdrag voor de Rechten van de Mens en de Internationaal verdrag inzake burgerrechten en politieke rechten (IVBPR).

Gegevens kunnen onder bepaalde omstandigheden persoonsgegevens zijn, terwijl ze dat anders niet zijn. Vanwege de aard van de gegevens of de beheerder ervan of de mogelijkheid de gegevens redelijkerwijs te kunnen herleiden. Zo kan een telefoonnummer herleidbaar zijn naar een rechtspersoon, waardoor het geen persoonsgegeven is. Een kenteken is vaak geen persoonsgegeven, omdat het niet zonder meer herleidbaar is. Voor de Rijksdienst voor het Wegverkeer is het dat echter wel. Deze organisatie beschikt over de expertise die identificatie van de personen redelijkerwijs mogelijk maakt, omdat dat een onderdeel is van hun taak en expertise. Wanneer een gegeven geclassificeerd wordt als persoonsgegeven, is namelijk rekening gehouden met het doel en de expertise van de organisatie of persoon die de gegevens bewaart, en of identificatie redelijkerwijs kan plaatsvinden. Technische ontwikkelingen en prijsdaling van (technische) middelen kunnen in de loop der tijd via jurisprudentie dan ook invloed op het begrip persoonsgegeven hebben.[4]

Volkenrecht en Europees recht

bewerken

In diverse internationale c.q. Europese verdragen is opgenomen dat de privésfeer niet mag worden aangetast door overheden. In de Universele Verklaring van de Rechten van de Mens (UVRM) is dit opgenomen in artikel 12. Deze verklaring is door de Algemene Vergadering van de Verenigde Naties aangenomen op 10 december 1948 en geldt voor alle lidstaten, hoewel bij aanvang enkele staten het verdrag niet hebben geratificeerd.

12. Niemand zal onderworpen worden aan willekeurige inmenging in zijn persoonlijke aangelegenheden, in zijn gezin, zijn tehuis of zijn briefwisseling, noch aan enige aantasting van zijn eer of goede naam. Tegen een dergelijke inmenging of aantasting heeft een ieder recht op bescherming door de wet.

— UVRM art. 12[5]

Het EVRM werd op 4 november 1950 getekend en gaat iets verder in de bescherming van gegevens als onderdeel van de privésfeer, zoals dat op andere onderdelen met dit verdrag vaker het geval is. Anderzijds is het uitsluitend geldig voor de 47 leden van de Raad van Europa. Hierin wordt als onderdeel van gegevens uit de privésfeer nadrukkelijk de bescherming genoemd van de correspondentie van personen. In de Nederlandse grondwet is dit vastgelegd in artikel 13[6] samen met het telefoon- en telegraafgeheim.[7] In de Belgische Grondwet ligt de bescherming van het briefgeheim vast in Titel II artikel 29.

1. Een ieder heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.
2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.

EVRM art. 8[8]

Het IVBPR, dat kracht van wet kreeg op 28 december 1976, is in artikel 17 de bescherming van persoonsgegevens opgenomen. Dit betreft het privé- en gezinsleven, huisvrede, briefwisseling en de eer en goede naam van natuurlijke personen. Het stelt de wet(gever) verplicht om mensen tegen inmenging te beschermen.

1. Niemand mag worden onderworpen aan willekeurige of onwettige inmenging in zijn privé leven, zijn gezinsleven, zijn huis en zijn briefwisseling, noch aan onwettige aantasting van zijn eer en goede naam.
2. Een ieder heeft recht op bescherming door de wet tegen zodanige inmenging of aantasting.

IVBPR art. 17[9]

Europese verordening gegevensbescherming

bewerken

Voor de leden van de Europese Unie geldt dat zij zich per 25 mei 2018 moeten houden aan de Algemene verordening gegevensbescherming (AVG).[10] Deze verordening is strenger dan voorgaande wetgeving. Als het verzamelen van gegevens een onderdeel is van de kerntaken van organisaties, zoals medische gegevens of abonnees, dient er bijvoorbeeld een Functionaris voor de gegevensbescherming te worden aangewezen. De verordening eist voorts, net als de oude Wet bescherming persoonsgegevens, dat organisaties een grondslag hebben om persoonsgegevens te mogen verwerken. De omgang met bijzondere persoonsgegevens is aan nadere regels onderworpen. Voor sommige, vooral kleine, organisaties die dit soort gevoelige of bijzondere gegevens verwerken, zoals scholen, kan dit een grote hoeveelheid extra werk opleveren.

De Europese wetgeving is echter moeilijk af te dwingen bij de verwerking door Europese vestigingen van niet-Europese bedrijven of overheden. Dergelijke persoonsgegevens zijn wellicht toegankelijk voor bijvoorbeeld Amerikaanse of Chinese inlichtingendiensten, op grond van Amerikaanse, resp. Chinese wetgeving.[11]

Nederland

bewerken

In Nederland gold van 2000 tot 2018 de Wet bescherming persoonsgegevens.[12] In de Memorie van Toelichting uit 1998[3] gaat de Nederlandse wetgever in op de noodzaak van de Wet bescherming persoonsgegevens als gevolg van artikel 10 van de Nederlandse Grondwet. Deze garandeert het recht op eerbiediging c.q. bescherming van de persoonlijke levenssfeer, regels voor de verstrekking en vastlegging van persoonsgegevens en het recht op kennisneming van vastgelegde gegevens dan wel de correctie ervan. Titel II artikel 22 van de Belgische Grondwet bepaalt kortweg het recht op een privé- en gezinsleven en de bescherming ervan door de overheid, waarbij België een Privacywet heeft.[13] Dit zijn zogenaamde klassieke grondrechten, die betrekking hebben op de verhouding tussen de overheid en de burgers en die de overheid weerhouden van inmenging. De wetgeving, zoals de Belgische Privacywet en de Nederlandse Uitvoeringswet Algemene verordening gegevensbescherming, regelen in aanvulling op die grondrechten ook de rechten en plichten van civiele partijen onderling. Toch verplicht de Grondwet de overheid wel deze wetgeving in te stellen, omdat zij de burgers dient te beschermen. In dit geval tegen elkaar, tegen bedrijven, instellingen, en dergelijke en tegen de overheid zelf.

België

bewerken

In België was van 1993 tot 2018 de privacywet van toepassing. In uitvoering van de Europese verordening (AVG) werd op 5 september 2018 een nieuwe Wet bescherming persoonsgegevens van kracht. Ter opvolging van de vroegere Privacycommissie werd een nieuwe instelling, de Gegevensbeschermingsautoriteit in het leven geroepen.

Zie ook

bewerken