Het begrip persoonsgegeven in de AVG

Onderzoeksgegevens
Projectnummer 3224
Type Extern onderzoek
Betrokken organisatie(s)

Samenvatting

Sinds 25 mei 2018 is de Algemene Verordening Persoonsgegevens (AVG) van kracht. Deze Europese verordening regelt de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens alsmede het vrije verkeer van die gegevens. De AVG definieert een persoonsgegeven als alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Ook informatie die naar een persoon te herleiden is, is een persoonsgegeven. De AVG bevat een zogeheten redelijkheidstest die voorschrijft dat moet worden bezien of gegevens redelijkerwijs kunnen worden herleid tot een individu (met in acht name van de beschikbare middelen om gegevens te herleiden). Indien dat het geval is, is sprake van persoonsgegevens en valt de dataset waar deze gegevens deel van uitmaken onder de reikwijdte van de AVG. 
Door nieuwe technologische ontwikkelingen verandert de invulling van de vraag of gegevens redelijkerwijs kunnen worden herleid tot een individu. Zo zullen gegevenssets vaker persoonsgegevens bevatten omdat door de inzet van algoritmische modellen verbanden kunnen worden gevonden in voorheen anonieme gegevenssets waardoor die gegevens tot personen herleidbaar worden. Bovendien is er dusdanig veel informatie van individuen (vrij) beschikbaar, of verzamelen verwerkingsverantwoordelijken zoveel informatie, dat het combineren van datasets vaak herleiding mogelijk maakt (dus ondanks maatregelen tot anonimisering of pseudonimisering). Hierdoor vervagen de grenzen tussen wat persoonsgegevens zijn en wat niet (S. Kulk en S. van Deursen, Juridische aspecten van algoritmen die besluiten nemen; een verkennend onderzoek, 2020) en wordt de vraag opgeroepen wanneer nog sprake is van ‘redelijkerwijs niet herleidbaar’ bij de toets inzake de indirecte herleidbaarheid. 
Het begrip persoonsgegeven beweegt dus mee met de stand van de techniek. De beschikbaarheid van nieuwe technieken verandert en daarmee verandert ook het beschermingsniveau bij gegevensverwerkingen. Voortschrijdende technische ontwikkelingen zorgen ervoor dat onzekerheid kan ontstaan over de vraag welke gegevenssets persoonsgegevens bevatten en dus over de vraag op welke gegevenssets de AVG van toepassing is. Ook kan de vraag rijzen welke pseudodonimiseringstechnieken in de praktijk nog effectief zijn om afdoende bescherming te bieden aan burgers. Het kabinet vindt het van groot belang om nader in kaart te brengen hoe de veranderende stand van de techniek van invloed is op de AVG en rechtsbescherming in brede zin (Tweede Kamerstukken, Vergaderjaar 2020-2021, 26643, nr. 726).  
Dit onderzoek heeft betrekking op vier hoofdthema’s: de herleidbaarheid van gegevens, de mogelijkheden tot anonimiseren en pseudonimiseren van gegevens, de verhouding tussen herleidbaarheid en anonimisering, en de gevolgen van het anonimiseren en herleiden van gegevens voor de reikwijdte van de AVG en daarmee voor het juridisch kader dat op gegevenssets van toepassing is. Daarnaast dient het onderzoek te worden afgesloten met een overkoepelende analyse waarin de meest waarschijnlijke scenario’s worden geschetst met betrekking tot de vraag hoe de veranderende stand van de techniek in de komende tijd van invloed zal zijn op de AVG en rechtsbescherming in brede zin.