De General Data Protection Regulation (GDPR) hanteert een alomvattende benadering voor de definitie van persoonsgegevens. Volgens Artikel 4(1), “betekent persoonsgegevens alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’); een identificeerbare natuurlijke persoon is een persoon die direct of indirect kan worden geïdentificeerd” (GDPR, 2016). Deze definitie heeft verschillende belangrijke implicaties, zoals hieronder beschreven:
- Directe identificatoren: De verordening omvat expliciet gegevens zoals naam, adres, telefoonnummer, identificatienummers, en andere gegevens waarmee een individu ondubbelzinnig kan worden geïdentificeerd.
- Indirecte identificatoren: Het toepassingsgebied strekt zich uit tot informatie die, in combinatie met andere gegevens, een individu kan identificeren. Voorbeelden hiervan zijn geboortedatum, locatiegegevens, beroep, en zelfs unieke fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteitskenmerken.
- Online identificatoren: De GDPR erkent specifiek dat digitale informatie—zoals IP-adressen, cookies, apparaat-ID's, en locatiemetadata—persoonsgegevens vormen als deze aan een individu kunnen worden gekoppeld.
- Bijzondere categorieën: Gegevens die als bijzonder gevoelig worden beschouwd—waaronder ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens voor identificatiedoeleinden, gezondheidsgegevens—worden geclassificeerd als ‘bijzondere categorieën’ en zijn onderworpen aan strengere beschermingsmaatregelen.
De resultaten van recente reglementaire richtlijnen en gerechtelijke uitspraken versterken de brede interpretatie. Bijvoorbeeld:
- Het Hof van Justitie van de Europese Unie (CJEU) oordeelde dat zelfs dynamische IP-adressen persoonsgegevens kunnen vormen als de verwerkingsverantwoordelijke over wettelijke middelen beschikt om de betrokkene te identificeren via aanvullende informatie.
- Gepseudonimiseerde gegevens vallen nog steeds onder de definitie van persoonsgegevens zolang de mogelijkheid bestaat om deze met redelijke middelen opnieuw te identificeren.
Kortom, onder de GDPR valt alle informatie die—direct of indirect—gekoppeld kan worden aan een levend individu binnen het toepassingsgebied. De nadruk van de verordening op identificeerbaarheid betekent dat zelfs informatie die een persoon niet rechtstreeks noemt, toch beschermd kan zijn als heridentificatie haalbaar is met beschikbare of toegankelijke gegevens. Deze ruime benadering garandeert een hoog niveau van privacybescherming, maar vereist een zorgvuldige beoordeling door organisaties die gegevens met betrekking tot individuen verwerken.
