Een brede definitie van gegevens, bestanden en hun verwerking

Fragment uit het boek van Bruno DUMAY: GDPR DECRYPTION – Voor managers, strategische afdelingen en medewerkers van bedrijven en organisaties – Voorwoord door Gaëlle MONTEILLER

Wij denken te weten wat persoonsgegevens zijn (let op: de term wordt niet in het enkelvoud gebruikt, waarschijnlijk omdat het nodig is om ten minste twee gegevens te verzamelen – bijvoorbeeld een naam en een adres – om de verwerking ervan te starten). Maar wees voorzichtig, om vergissingen te voorkomen, laten we rekening houden met de definitie zoals geformuleerd in artikel 4 van de Verordening: "alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als "identificeerbaar" wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of aan de hand van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon."

Hoewel de formulering verre van flexibel is, laat ze geen twijfel bestaan over de brede betekenis van de term. "Alle informatie" die aan een persoon is gekoppeld, vormt een persoonsgegeven. De lijst met bijvoeglijke naamwoorden die verband houden met de "identiteit" van de persoon onderstreept, indien nodig, de reikwijdte van het woord "informatie". 

De CNIL verduidelijkte het begrip persoonsgegevens in een commentaar op artikel 2 van de wet op de gegevensbescherming: "Gegevens worden als 'persoonsgegevens' beschouwd wanneer ze betrekking hebben op direct of indirect geïdentificeerde natuurlijke personen. Een persoon wordt bijvoorbeeld geïdentificeerd wanneer zijn naam in een bestand voorkomt.

Een persoon is identificeerbaar wanneer een bestand informatie bevat die indirecte identificatie mogelijk maakt (bijv.: IP-adres, naam, registratienummer, telefoonnummer, foto, biometrische elementen zoals vingerafdruk, DNA, nationaal studentenidentificatienummer (INE), een geheel van informatie waarmee een persoon binnen een populatie kan worden gediscrimineerd (bepaalde statistische bestanden), zoals bijvoorbeeld woonplaats en beroep, geslacht en leeftijd). Gegevens die u als anoniem zou kunnen beschouwen, kunnen persoonsgegevens zijn als ze indirecte identificatie of kruisverwijzing van informatie mogelijk maken. Dit kan in feite informatie zijn die niet aan de naam van een persoon is gekoppeld, maar die het mogelijk maakt om die persoon gemakkelijk te identificeren en zijn gewoonten of voorkeuren te achterhalen.

Persoonsgegevens omvatten in deze zin ook alle informatie die, door middel van kruisverwijzing, identificatie van een specifieke persoon mogelijk maakt (bijvoorbeeld een vingerafdruk, DNA, geboortedatum gekoppeld aan de gemeente van de woonplaats).

De AVG sluit de activiteiten van staten die verband houden met hun veiligheid (16^en (overweging), en uiteraard activiteiten van puur binnenlandse aard (art. 2). Anderzijds heeft de verordening betrekking op alle bedrijven (en overheden, organisaties en verenigingen) die gegevens van Europese burgers verwerken, ongeacht of ze op het continent gevestigd zijn of niet. Ook als een bedrijf een onderaannemer buiten de EU inschakelt, moet deze zich aan de regels houden (art. 3).

Omdat deze gegevens in bestanden worden opgeslagen, moeten we ook de definitie van dit woord in acht nemen: "elke gestructureerde verzameling persoonsgegevens die toegankelijk is volgens specifieke criteria, ongeacht of deze verzameling gecentraliseerd, gedecentraliseerd of functioneel of geografisch verspreid is." Ook hier is het duidelijk dat we niet sluw kunnen zijn door te proberen gegevens op te slaan in databases die geen "bestanden" genoemd kunnen worden. Niet alleen zou onze tool opnieuw worden geclassificeerd, maar de toezichthoudende autoriteit zou dit ongetwijfeld ook als een verzwarende omstandigheid beschouwen.

Op dezelfde manier kan een ambachtsman die zich verzet tegen computerisering en die papieren dossiers van zijn klanten in alfabetische volgorde bijhoudt, niet ontkomen aan de AVG (art. 2, lid 1).

Omdat ze bestemd zijn om te worden verwerkt, moeten de gegevens die de bestanden vormen, worden beschermd. Wat is verwerking? "Elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen" (art. 4, lid 2). De lijst met woorden is bijna uitputtend: zodra we gegevens aanraken, verwerken we ze en zijn we daarom onderworpen aan de regelgeving. A fortiori moet profilering – het verwerken van gegevens om gedrag te evalueren of te voorspellen – streng worden gecontroleerd.

De AVG beveelt pseudonimisering aan waar mogelijk, zodat de gegevens niet langer aan een natuurlijke persoon kunnen worden gekoppeld zonder gebruik van aanvullende informatie. “Pseudonimisering van persoonsgegevens kan de risico's voor betrokkenen verminderen en verwerkingsverantwoordelijken en verwerkers helpen hun verplichtingen inzake gegevensbescherming na te komen” (28).^en overwegende).  

De controle over de verwerking wordt tot het uiterste gedreven, omdat deze grensoverschrijdend is. Gegevens die buiten de Europese Unie worden doorgegeven, blijven immers onderworpen aan het Europees recht, uiteraard voor de doorgifte zelf, maar ook voor eventuele daaropvolgende verwerking. Men kan zich ook afvragen of er juridische geschillen kunnen ontstaan, met name met China of de Verenigde Staten. Om partners buiten de EU vooraf te informeren, beveelt de verordening aan om bindende bedrijfsvoorschriften (BCR's) te ondertekenen of standaard contractuele clausules te gebruiken, die door de Europese instantie worden gevalideerd.

Tot slot willen we verduidelijken dat een datalek een "inbreuk op de beveiliging is die leidt tot de onbedoelde of onrechtmatige vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens" (art. 4, lid 12). Ook hier moet de term dus zeer ruim worden opgevat.