Persoonlijk identificeerbare informatie (PII), zoals gedefinieerd door toonaangevende privacywetgeving, omvat alle gegevens die in staat zijn een individu direct of indirect te identificeren. De analyse van juridische kaders onthult genuanceerde definities en categoriseringen:
- Directe identificatoren: Deze omvatten naam, sociaal verzekeringsnummer en biometrische gegevens—elementen die op zichzelf een individu kunnen aanwijzen (U.S. Department of Labor, z.d.).
- Indirecte identificatoren: Gegevens zoals ras, werkgelegenheidsinformatie of online identificatoren vallen in deze categorie wanneer ze worden gecombineerd met andere gegevens om potentieel de identiteit te onthullen.
Regelgevende perspectieven bieden contrasterende maar overlappende reikwijdtes:
- Onder de California Consumer Privacy Act (CCPA) wordt PII gedefinieerd als “informatie die een bepaalde consument of een bepaald huishouden identificeert, ermee in verband staat, beschrijft, ermee geassocieerd kan worden, of redelijkerwijs direct of indirect gekoppeld kan worden”.
- De General Data Protection Regulation (GDPR) in de EU hanteert een bredere term, “persoonsgegevens,” die alle informatie omvat met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon, zoals namen, identificatienummers, locatiegegevens en kenmerken van fysieke of sociale identiteit.
Belangrijke bevindingen uit recente literatuur benadrukken:
- Het onderscheid tussen PII en geanonimiseerde gegevens is cruciaal; effectieve anonimiseringstechnieken moeten ervoor zorgen dat heridentificatie niet haalbaar is, zelfs niet wanneer indirecte identificatoren worden gecombineerd.
- Verschillen tussen rechtsgebieden leiden tot nalevingsuitdagingen voor multinationale organisaties vanwege uiteenlopende interpretaties van wat PII/persoonsgegevens inhoudt.
- Vooruitgang in data-analyse vergroot het risico op heridentificatie, wat de noodzaak benadrukt van een voortdurende herbeoordeling van wat als PII moet worden geclassificeerd.
Samenvattend is PII een juridisch en operationeel veranderlijk concept, gevormd door technologische mogelijkheden en wetgevende context. Organisaties moeten voortdurend toezicht houden op zowel datasets als toepasselijke wetten om een correcte omgang met PII te garanderen en overtredingen van de regelgeving te voorkomen.
