Bedrijven zullen in de toekomst wellicht heel wat minder persoonsgegevens verzamelen. Welke gegevens dat nu net zijn, is vatbaar voor interpretatie. Is een foto een persoonsgegeven? Wat met een online gebruikersnaam? Of een IP-adres?
De GDPR, de nieuwe Europese privacy-wetgeving die in 2018 van kracht wordt, zal ervoor zorgen dat bepaalde bedrijven moeten schaven aan hun verzameling van gegevens. Onder andere moet bij meesten worden herzien welke data wordt verzameld, en of die data op een correcte manier wordt beveiligd.
Het gaat in het bijzonder om persoonsgegevens: informatie die gelinkt kan worden aan een identiteit. Deze data zouden voortaan enkel met de toestemming van de betrokkene kunnen worden verkregen, en enkel de data die cruciaal is voor het bedrijf mag worden bijgehouden. De wetgeving werkt bovendien met terugwerkende kracht: niet alleen de persoonsgegevens die vanaf 2018 worden verzameld, maar ook de bestaande collectie aan data moeten compliant zijn met de GDPR. Maar over welke gegevens gaat het dan precies?
Wie is het?
De definitie in de wetgeving laat veel aan de verbeelding over. Letterlijk luidt de omschrijving van persoonsgegevens: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”.
Met andere woorden, onder persoonsgegevens mag je alle informatie verstaan waarmee je een persoon kan herkennen. Een caveat is dat de regel niet van toepassing is op “de persoonsgegevens van overleden personen”, maar daarbuiten zijn foto’s, naam, adres of een rijksregisternummer dus allen persoonsgegevens. Maar wat met iets als een IP-adres of een Twitter-handle? Kan je iemand daaraan herkennen of niet?
Schuilnamen
We schakelen de hulp in van juriste Dominique Pissoort bij Orone. Zij weet hoeveel ruimte voor interpretatie de GDPR laat, maar op het vlak van persoonsgegevens is er geen grijze zone. “Elke vorm van informatie die naar een natuurlijke persoon kan leiden, zijn persoonsgegevens.”
“Dat mag je heel breed nemen,” gaat Pissoort verder. Ook digitale gegevens, zoals gebruikersnamen, blijven niet gespaard.”Zelfs een pseudoniem kan gelinkt worden aan een naam, en een naam aan een persoon. Een Twitter-handle, en overigens ook tweets, zijn dus persoonsgegevens. Hetzelfde met een IP-adres. Ze kunnen, al dan niet met aanvullende gegevens, terugkoppelen naar een persoon.”
Anonieme persoonsgegevens?
Eventuele uitzonderingen? Die zijn er haast niet. De enige categorie die buiten beschouwing wordt gelaten, is deze van “geanonimiseerde gegevens”. Dat kan bijvoorbeeld een foto zijn waarbij de afgebeelde persoon onherkenbaar is gemaakt, of het zijn gegevens zoals deze bij wetenschappelijk onderzoek: anonieme markeerders van leeftijd en geslacht.
In dat opzicht heeft zo goed als elk bedrijf een berg aan gegevens die binnenkort herzien moeten worden, met als hamvraag: kan deze data gebruikt worden om een persoon te herkennen, en is het wel geoorloofd dat deze data worden bijgehouden? Afgezien van geanonimiseerde gegevens, kan je er bij twijfel beter van uit gaan dat je wel degelijk te maken hebt met persoonsgegevens. Better safe than sorry.
(Bron: http://www.smartbiz.be)