Agnes bekijkt een overzicht van datatypes op haar scherm en markeert welke gegevens persoonsgegevens zijn

Wat zijn persoonsgegevens? De AVG-definitie uitgelegd voor MKB

AVG, Compliance, MKB

Als je "de AVG" hoort, denk je waarschijnlijk aan een lijst met klantnamen en e-mailadressen. Logisch. Maar de officiële definitie van "persoonsgegevens" is een stuk breder dan dat.

Het gat tussen wat mensen denken dat persoonsgegeven is, en wat de wet er daadwerkelijk onder verstaat, is precies waar de meeste AVG-fouten worden gemaakt.

Dit artikel legt de definitie uit in gewone taal en geeft je een praktische manier om te bepalen welke data in jouw organisatie onder de AVG valt.

De officiële definitie en waarom die breder is dan je denkt

De AVG definieert persoonsgegevens in artikel 4(1) als: "alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon."

De sleutelwoorden zijn "of identificeerbaar." Je hoeft iemand niet direct te kunnen benoemen om te spreken van persoonsgegevens. Als je informatie beschikt waarmee je iemand kunt achterhalen, direct of indirect, met een redelijke inspanning, dan is het een persoonsgegeven.

Die "indirecte identificatie" is wat de meeste mkb-bedrijven verrast.

Directe persoonsgegevens: wat iedereen kent

Directe persoonsgegevens zijn gegevens die zonder extra stap tot een persoon herleidbaar zijn:

  • Volledige naam
  • E-mailadres (persoonlijk of zakelijk, als het herleidbaar is tot een persoon)
  • Telefoonnummer
  • Thuisadres
  • Geboortedatum
  • Burgerservicenummer (BSN)
  • Paspoortnummer of rijbewijsnummer
  • Foto waarop een persoon herkenbaar is
  • Stemopname die tot een persoon herleidbaar is

Dit zijn de gevallen die de meeste bedrijven al herkennen en waarvoor ze maatregelen hebben genomen.

Indirecte persoonsgegevens: de categorie die MKB het vaakst mist

Indirecte persoonsgegevens zijn gegevens die op zichzelf niet direct tot een persoon leiden, maar dat wel doen als je ze combineert met andere informatie die je beschikbaar hebt.

Dit zijn de gevallen die de meeste mkb-bedrijven verrassen:

IP-adressen. Het Europese Hof van Justitie heeft bevestigd dat dynamische IP-adressen persoonsgegevens zijn voor organisaties die in staat zijn de persoon erachter te identificeren. Voor de meeste bedrijven met een website geldt dit. Elke webserver, elk analyseplatform en elk contactformulier dat IP-adressen logt, verwerkt persoonsgegevens. Dit is de reden waarom Google Analytics configuratiewijzigingen vereiste na de invoering van de AVG.

Device-ID's en cookie-ID's. Een unieke identifier die aan een apparaat of browser is gekoppeld, is een persoonsgegeven als daarmee het gedrag van een individu over tijd kan worden gevolgd.

Zakelijke e-mailadressen. jan.pietersen@bedrijf.nl is een persoonsgegeven. Het identificeert een persoon, niet alleen een bedrijf.

Locatiedata. GPS-coördinaten, check-in data of reispatronen die consistent zijn en tot een individu herleidbaar zijn.

HR-data. Beoordelingsverslagen, ziekteverzuimregistraties (ook als je alleen de datum bijhoudt zonder diagnose), salarisgegevens, functioneringsgesprekken, disciplinaire dossiers.

Sollicitantendata. CV's, motivatiebrieven, interviewnotities, referentiecontroles. Dit zijn persoonsgegevens van zodra je ze ontvangt.

Gedragsdata die herleidbaar is. Klikpatronen op je website, sessie-opnames (tools als Hotjar of Clarity), klantinteractiehistorie in je CRM. Als de data is gekoppeld aan een profiel of een ID dat tot een persoon leidt, is het een persoonsgegeven.

Facturatiedata met naam en adres. Een factuur met de naam en het adres van de ontvanger bevat persoonsgegevens, ook al is het primair een financieel document.

Bijzondere categorieën: extra bescherming vereist

De AVG kent een aparte categorie voor gegevens die extra gevoelig zijn. Voor de verwerking hiervan heb je niet alleen een reguliere rechtsgrondslag nodig (artikel 6), maar ook een expliciete uitzondering uit artikel 9.

Bijzondere categorieën zijn:

  • Gezondheidsgegevens (medische dossiers, verzuimredenen, medicatiegebruik)
  • Etnische of raciale afkomst
  • Politieke opvattingen
  • Religieuze of levensbeschouwelijke overtuigingen
  • Genetische gegevens
  • Biometrische gegevens voor identificatiedoeleinden (vingerafdrukken, gezichtsherkenning)
  • Gegevens over seksuele geaardheid of genderidentiteit
  • Strafrechtelijke gegevens (veroordelingen, straffen)

Praktische mkb-voorbeelden waarbij bijzondere categorieën in beeld komen: een arts-assistentpraktijk die patiëntgegevens bijhoudt, een HR-systeem dat de reden van ziekteverlof vastlegt, een toegangscontrolesysteem met vingerafdrukscanner, een achtergrondcheckprovider.

Als je bijzondere categorieën verwerkt, is de drempel hoger en de documentatieverplichting zwaarder. Een DPIA is in de meeste gevallen verplicht.

Anoniem versus gepseudonimiseerd: wat het verschil betekent voor jou

Anonieme data valt buiten de AVG. Als data zodanig is verwerkt dat een persoon niet meer kan worden geïdentificeerd, direct of indirect, ook niet met aanvullende informatie, dan gelden de AVG-verplichtingen niet. Geaggregeerde statistieken ("onze website heeft deze maand 12.000 bezoekers gehad") zijn anonieme data.

Gepseudonimiseerde data valt nog steeds onder de AVG. Als je een naam vervangt door een gebruikers-ID maar je de koppeling nog kunt terugzoeken, is de data niet anoniem. De betrokkene is nog steeds identificeerbaar, namelijk door jou. Pseudonimisering is een goede beveiligingsmaatregel die de AVG actief aanmoedigt (artikel 25), maar het verwijdert de AVG-verplichtingen niet.

De lat voor echte anonimisering ligt hoog. Als je twijfelt: beschouw de data als persoonsgegeven.

Persoonsgegevens in jouw SaaS-tools: een praktische check

Loop je vijf meest gebruikte tools langs. Stel per tool:

  • Slaat deze tool namen, e-mailadressen of telefoonnummers op? Als ja: persoonsgegevens.
  • Logt deze tool IP-adressen of device-ID's? Als ja: persoonsgegevens.
  • Bevat deze tool klantinteractiegeschiedenissen of gedragsdata? Controleer of die data herleidbaar is tot individuen. Als ja: persoonsgegevens.
  • Verwerkt deze tool HR-data van medewerkers? Als ja: persoonsgegevens, en mogelijk bijzondere categorieën.
  • Verzamelt deze tool sollicitantgegevens? Als ja: persoonsgegevens.

Als je op een of meer vragen "ja" antwoordt, ben je verwerkingsverantwoordelijke of verwerker onder de AVG.

In ComplianceHive leg je per tool vast welke persoonsgegevens worden verwerkt, op welke rechtsgrondslag en hoe lang.

Wat doe je als je persoonsgegevens verwerkt?

De eerste stap is documenteren. Welke tools in jouw organisatie verwerken persoonsgegevens? Van wie? Voor welk doel? Op welke rechtsgrondslag? Hoe lang bewaar je de data?

Dit is de basis van een verwerkingsregister (RoPA), de meest fundamentele stap in AVG-compliance. Ons stappenplan voor het opstellen van een verwerkingsregister helpt je daarbij.

Daarna is de volgende stap per verwerkingsactiviteit: stel de bewaartermijn vast en bouw een beleid om de data ook daadwerkelijk te verwijderen als de termijn is bereikt.

Nu je weet wat persoonsgegevens zijn, is de volgende stap: in kaart brengen welke gegevens je organisatie verwerkt. ComplianceHive helpt je dat stap voor stap documenteren. Probeer 30 dagen gratis.

Dit artikel is algemene informatie en geen juridisch advies. Raadpleeg een gekwalificeerde jurist of privacyspecialist voor een beoordeling die specifiek is voor jouw situatie.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis