wanneer organisaties de gegevens van hun gebruikers willen beschermen, is het noodzakelijk dat zij begrijpen welke gegevens zij moeten beschermen. Persoonsgegevens hebben in het kader van de AVG betrekking op een veel breder scala aan informatie dan persoonlijk identificeerbare informatie (PII), vaak gebruikt in Noord-Amerika. Met andere woorden, terwijl alle PII wordt beschouwd als persoonlijke gegevens, niet alle persoonlijke gegevens zijn PII.
dit vraagt om enige uitleg.
Wat is PII?,
persoonlijk identificeerbare informatie wordt door het us Office of Privacy and Open Government gedefinieerd als:
“informatie die kan worden gebruikt om de identiteit van een persoon te onderscheiden of te traceren, zoals hun naam, burgerservicenummer, biometrische gegevens, enz. alleen of in combinatie met andere persoonlijke of identificeerbare informatie die aan een bepaalde persoon is gekoppeld of kan worden gekoppeld, zoals geboortedatum en-plaats, meisjesnaam van de moeder, enz.,”
een individu onderscheiden is een individu identificeren door de ene persoon van de andere te onderscheiden en een individu traceren is voldoende informatie verwerken om een bepaald aspect van de activiteiten of status van een individu te bepalen. Naar aanleiding van deze definitie worden Naam, e-mailadres, postadres, telefoonnummer, persoonlijke ID-nummers (bijv. sociale zekerheid, paspoort, rijbewijs, bankrekening) beschouwd als PII.
informatie is ontworpen als gekoppeld als een stuk van persoonlijke informatie kan worden gebruikt om een individu te identificeren. (bijv.,: geboortenaam). Informatie wordt gecategoriseerd als koppelbare informatie als, op zichzelf, het niet voldoende is om een persoon te identificeren, maar wanneer gecombineerd met een ander stuk informatie, het zou kunnen identificeren, traceren of lokaliseren van een persoon (bijvoorbeeld: geboortedatum).
Neem bijvoorbeeld twee datasets die verschillende PII bevatten. Wanneer beide datasets toegankelijk zijn voor dezelfde persoon, wordt het mogelijk om personen te identificeren door de datasets te combineren of toegang te krijgen tot aanvullende informatie over het onderwerp. Dit is waar informatiebeveiliging in het spel komt., Als controles die zijn ontworpen om de gegevensbronnen gescheiden te houden onvoldoende zijn, worden gegevens als gekoppeld beschouwd. Wanneer een extra bron van informatie extern of op afstand blijft – het geval met geà soleerde databases binnen organisaties of via een zoekmachine op het internet voor publiek toegankelijke informatie, dan wordt gedacht dat die gegevens koppelbaar zijn.
Wat is gevoelige PII?
PII wordt als gevoelig beschouwd als het verlies, compromis of openbaarmaking zonder toestemming van deze gegevens zou kunnen leiden tot schade, verlegenheid, ongemak of oneerlijkheid voor een individu., De volgende informatie wordt bijvoorbeeld als gevoelig PII beschouwd:
- medische
- educatieve
- financiële
- arbeidsinformatie
wat zijn persoonsgegevens onder de AVG?,
in artikel 4 van de AVG worden persoonsgegevens als volgt gedefinieerd:
“Persoonsgegevens”: alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”); een identificeerbaar persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of een of meer factoren die specifiek zijn voor zijn fysieke, fysiologische, mentale, economische, culturele of sociale identiteit”.,
in deze definitie zien we vier hoofdelementen:” alle informatie”,” met betrekking tot”,” een geïdentificeerde of identificeerbare “en”natuurlijke persoon”.
eerste element:”alle informatie “
de term” alle informatie ” in de richtlijn vereist duidelijk een ruime interpretatie van het begrip. Wat de aard van de informatie betreft, betekent dit dat zowel objectieve als subjectieve informatie van een persoon als persoonsgegevens kan worden beschouwd. Met betrekking tot de inhoud, persoonlijke gegevens omvat elke vorm van informatie., De definitie is ook technologieneutraal, het maakt niet uit hoe de persoonsgegevens worden opgeslagen (bijvoorbeeld: alfabetisch, numeriek, grafisch, fotografisch, akoestisch). Als voorbeeld, beelden van personen die door een videobewakingssysteem worden vastgelegd kunnen persoonlijke gegevens zijn voor zover de individuen herkenbaar zijn.
tweede element:”relating to”
in het algemeen kan informatie worden beschouwd als”gerelateerd” aan een individu wanneer het over dat specifieke individu gaat., Om de gegevens met betrekking tot iemand te overwegen, moet een van de drie vloeiende functies aanwezig zijn: inhoud, doel of resultaat. Deze drie kenmerken moeten worden beschouwd als alternatieve voorwaarden en niet als cumulatieve voorwaarden. Bijgevolg kan dezelfde informatie betrekking hebben op verschillende individuen op hetzelfde moment, afhankelijk van welk element aanwezig is met betrekking tot elk van hen.
derde element:”geïdentificeerd of identificeerbaar”
“geïdentificeerd” wanneer hij of zij binnen een groep personen “onderscheiden” is van alle andere leden van de groep., De natuurlijke persoon is “identificeerbaar” wanneer, hoewel de persoon nog niet is geïdentificeerd, het mogelijk is om het te doen.
welke informatie kan een identifier zijn? De AVG bevat een niet-uitputtende lijst van gemeenschappelijke identificatoren die, indien gebruikt, de identificatie mogelijk maken van de persoon op wie de informatie in kwestie betrekking kan hebben (bijvoorbeeld naam, identificatienummer, locatiegegevens, online identifier).
het begrip ” direct “of” indirect ” identificeerbaar houdt in dat de mate waarin bepaalde identificatoren voldoende zijn om identificatie te bereiken, afhankelijk is van de context.,
sommige kenmerken zijn zo uniek dat iemand zonder moeite kan worden geïdentificeerd. Als ik ‘onze baas’ noem, Weet je precies over wie ik het heb.
vierde element: “natuurlijke persoon”
het begrip ” natuurlijke persoon “verwijst naar Artikel 6 van de Universele Verklaring van de rechten van de mens, volgens hetwelk”een ieder het recht heeft om overal als persoon voor de wet te worden erkend”. Het recht op bescherming van persoonsgegevens is in die zin universeel en niet beperkt tot onderdanen of ingezetenen van een bepaald land., Een natuurlijk persoon houdt zich dus bezig met de eis dat “persoonsgegevens” betrekking hebben op ” levende personen “. Op grond van de AVG vallen de persoonsgegevens van overleden personen niet onder de AVG, maar kunnen zij in bepaalde gevallen indirect toch enige bescherming genieten, met name wanneer die persoonsgegevens betrekking hebben op personen die nog in leven zijn.
wat zijn gevoelige gegevens onder de AVG?
de volgende persoonsgegevens worden beschouwd als bijzondere categorieën van persoonsgegevens en zijn onderworpen aan specifieke Verwerkingsvoorwaarden volgens de Art., 9 van de AVG:
- persoonsgegevens waaruit raciale of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen blijken;
- lidmaatschap van een vakbond;
- genetische gegevens, biometrische gegevens die uitsluitend worden verwerkt om een mens te identificeren;
- gezondheidsgerelateerde gegevens;
- gegevens over het seksleven van een persoon of gevoelige gegevens.
hoe zit het met online identifiers?,
overweging 30 van de verordening verduidelijkt de definitie van “online identificator” die
in artikel 4 wordt genoemd:
“natuurlijke personen kunnen worden geassocieerd met online identificatoren die worden verstrekt door hun apparaten, toepassingen, instrumenten en protocollen, zoals internetprotocoladressen, cookie-identificatoren of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name in combinatie met unieke identificatiemiddelen en andere door de servers ontvangen informatie, kunnen worden gebruikt om profielen van de natuurlijke personen aan te maken en hen te identificeren.,”
apparaat-ID ‘ s, IP-adressen en Cookies worden beschouwd als persoonsgegevens onder de AVG. Volgens de definitie van de PII, ze zijn niet PII omdat er anoniem en kunnen niet worden gebruikt op hun eigen te identificeren, traceren, of identificeren van een persoon.
hoe zit het met gepseudonimiseerde gegevens?
persoonsgegevens worden als geanonimiseerd beschouwd indien zij geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of indien zij op zodanige wijze anoniem zijn gemaakt dat de betrokkene niet of niet langer identificeerbaar is.,
pseudonimisering van gegevens betekent het vervangen van identificerende kenmerken van gegevens door een pseudoniem, of, met andere woorden, een waarde die het niet mogelijk maakt de betrokkene rechtstreeks te identificeren. Worden gepseudonimiseerde gegevens nog steeds beschouwd als persoonsgegevens?
volgens Artikel 29 Van Het advies van de werkgroep blijven persoonsgegevens die zijn gedeïdentificeerd, versleuteld of gepseudonimiseerd, maar kunnen worden gebruikt om een persoon opnieuw te identificeren, persoonsgegevens en vallen ze onder de AVG., Persoonsgegevens die op zodanige wijze anoniem zijn gemaakt dat de persoon niet of niet meer identificeerbaar is, worden niet langer als persoonsgegevens beschouwd. Om gegevens echt te anonimiseren, moet de anonimisering onomkeerbaar zijn.
PII bevat alle informatie die kan worden gebruikt om anonieme gegevens opnieuw te identificeren. Informatie die anoniem is en niet kan worden gebruikt om de identiteit van een individu te traceren, is niet-PII. Apparaat-ID’ s, cookies en IP-adressen worden niet beschouwd als PII voor de meeste van de Verenigde Staten. Maar sommige staten, zoals Californië, classificeren deze gegevens als PII., Californië classificeert aliassen en accountnamen als persoonlijke informatie.
In een notendop verwijst PII naar alle informatie die kan worden gebruikt om een individu van een ander te onderscheiden. De GDPR-definitie van persoonsgegevens is-bewust-zeer breed. In principe heeft het betrekking op alle informatie die betrekking heeft op een identificeerbaar, levend individu.
Geef een reactie