Ontdek wat wel en niet als persoonsgegeven telt, waarom context ertoe doet en hoe je verantwoord omgaat met bijzondere gegevens en data van kinderen. Je krijgt praktische stappen voor een privacyvriendelijke aanpak: duidelijke doelen en rechtsgrond, dataminimalisatie, bewaartermijnen, goede beveiliging en heldere afspraken met verwerkers. Ook lees je hoe je rechten van betrokkenen faciliteert, cookies en profilering eerlijk inzet en datalekken snel en transparant afhandelt-met behoud van gebruiksgemak.
Wat is een persoonsgegeven
Een persoonsgegeven is elke informatie die direct of indirect over jou gaat en waarmee je je kunt identificeren. Direct kan dat met een naam, e-mailadres of telefoonnummer. Indirect gebeurt het via gegevens die samen jou herkenbaar maken, zoals IP-adres, cookie-ID, locatiegegevens, klantnummer, kenteken, foto’s of een stemopname. Het draait om de context: één datapunt lijkt soms onschuldig, maar in combinatie met andere gegevens kun je alsnog herleidbaar zijn. Het gaat altijd om natuurlijke personen, dus niet om gegevens die alleen iets zeggen over een bedrijf als organisatie. Onder de AVG (Algemene verordening gegevensbescherming) vallen ook gepseudonimiseerde gegevens: je vervangt identificerende onderdelen door een sleutel of code, maar omdat je met die sleutel de link kunt herstellen, blijft het nog steeds een persoonsgegeven.
Alleen als gegevens écht onomkeerbaar geanonimiseerd zijn en niet meer tot jou te herleiden zijn, valt het buiten de privacyregels. Sommige persoonsgegevens zijn extra gevoelig, zoals gezondheidsinformatie, biometrie (bijv. vingerafdrukken) of iemands religie; daarvoor gelden strengere eisen. Denk ook aan gegevens van kinderen, die extra bescherming nodig hebben. Kort gezegd: zodra informatie iets zegt over jou of jou kan onderscheiden van anderen, heb je te maken met een persoonsgegeven en moet je zorgvuldig omgaan met verzameling, gebruik, delen en bewaartermijnen.
Definitie volgens de AVG
Volgens de AVG is een persoonsgegeven elke informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Jij bent identificeerbaar als je direct herkenbaar bent (bijvoorbeeld via je naam of e-mailadres) of indirect, via gegevens als een ID-nummer, locatiegegevens, een online identificator zoals een IP- of cookie-ID, of kenmerken die iets zeggen over je fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit.
Het gaat om levende personen; gegevens over overledenen vallen meestal buiten de AVG. Bedrijfsgegevens tellen niet mee, tenzij ze aan jou als individu te koppelen zijn. Gegevens die zijn gepseudonimiseerd blijven persoonsgegevens zolang de link te herstellen is, terwijl écht geanonimiseerde gegevens buiten de AVG vallen. De context en de redelijke middelen om je te identificeren zijn daarbij doorslaggevend.
Identificatie: direct, indirect, pseudonimisering en anonimisering
Onderstaande vergelijking maakt duidelijk hoe personen via persoonsgegevens te identificeren zijn en wat het verschil is tussen directe/indirecte identificatie, pseudonimisering en anonimisering, inclusief de AVG-gevolgen.
| Type | Omschrijving | Voorbeelden | Status onder AVG |
|---|---|---|---|
| Directe identificatie | Gegevens die op zichzelf een natuurlijke persoon identificeren. | Naam met adres, persoonsgebonden e-mail (voornaam.achternaam@…), telefoonnummer, BSN/paspoortnummer. | Altijd persoonsgegevens; soms bijzonder (bijv. BSN). Vereist rechtsgrond, doelbinding en sterke beveiliging. |
| Indirecte identificatie | Op zichzelf niet uniek, maar in combinatie of via koppeling herleidbaar tot een persoon. | IP-adres, cookie-ID, device-ID, nauwkeurige locatie, kenteken in context, combinatie geboortedatum + postcode. | Persoonsgegevens zodra redelijke herleiding mogelijk is. Transparantie vereist; vaak belangenafweging of toestemming bij tracking. |
| Pseudonimisering | Identificatoren worden vervangen door een pseudoniem; aanvullende sleutel/gegevens worden apart en beveiligd bewaard. | Gehashte e-mail met salt, willekeurig user-ID met sleutel in aparte tabel, tokenization. | Blijft persoonsgegevens (herleiding mogelijk). Wel een sterke beveiligingsmaatregel onder de AVG (art. 4(5), 32). |
| Anonimisering | Onomkeerbare bewerking waardoor gegevens niet (meer) betrekking hebben op een identificeerbare persoon. | Aggregatie/k-anonimiteit, generalisatie/suppressie, gecontroleerd ruis toevoegen. | Niet langer persoonsgegevens; AVG is niet van toepassing op het resultaat. Het anonimiseren zelf is wel verwerking en vereist een rechtsgrond. |
Kern: directe en indirecte identificatie leveren persoonsgegevens op; pseudonimisering verlaagt risico maar blijft onder de AVG; alleen correcte, onomkeerbare anonimisering valt buiten de AVG.
Je kunt direct worden geïdentificeerd met duidelijke gegevens zoals je naam, e-mailadres of burgerservicenummer. Indirecte identificatie gebeurt wanneer losse stukjes data samen jou herkenbaar maken, bijvoorbeeld een IP-adres, locatiepatroon, klantnummer of unieke device-kenmerken. Pseudonimisering vervangt identificeerbare onderdelen door een code of token; zonder de sleutel lijk je anoniem, maar omdat de koppeling te herstellen is, blijft het onder de AVG een persoonsgegeven.
Anonimisering gaat een stap verder: identificatie is blijvend onmogelijk, ook niet met redelijke middelen of extra datasets. In de praktijk draait het om risico en context: hoe uniek zijn de gegevens, welke aanvullende informatie is beschikbaar en hoe groot is de kans op herleiding? Kun je nog terug naar jou, dan is het geen anonimisatie maar hoogstens pseudonimisering.
Praktijkvoorbeelden (naam, e-mail, IP-adres, cookie-ID, locatie)
Je naam identificeert je direct, zeker in combinatie met je achternaam of een uniek gebruikersprofiel. Een e-mail werkt net zo: ook een zakelijk adres met voornaam.achternaam@bedrijf maakt je herkenbaar. Een IP-adres kan wisselen of gedeeld worden, maar binnen de context van een sessie of met aanvullende gegevens is het vaak genoeg om jou of je apparaat te onderscheiden. Een cookie-ID is een unieke code die je browser bijhoudt en die je over bezoeken heen herkenbaar maakt, wat profilering mogelijk maakt.
Locatiegegevens variëren van GPS-nauwkeurig tot ruwer via wifi of mastgegevens; patronen zoals thuis- en werkadres maken je snel herleidbaar. Samen vormen deze gegevens een profiel dat jou identificeert en je online gedrag traceerbaar maakt.
[TIP] Tip: Kan het iemand identificeren? Behandel het als persoonsgegeven.
Soorten persoonsgegevens en gevoeligheid
Persoonsgegevens lopen uiteen van gewone gegevens zoals je naam, adres, e-mail, IP-adres en locatie tot categorieën die extra bescherming vragen. Bijzondere persoonsgegevens gaan over ras of etnische afkomst, politieke opvattingen, religie, gezondheid, genetische en biometrische gegevens, seksuele gerichtheid en vakbondslidmaatschap; daarvoor gelden zwaardere regels en mag je ze alleen in uitzonderlijke gevallen verwerken. Strafrechtelijke gegevens vormen een aparte categorie met strikte beperkingen. Ook financiële gegevens, inloggegevens en unieke online identifiers kunnen zeer gevoelig zijn, zeker als ze worden gecombineerd en een profiel van je gedrag of voorkeuren opleveren.
Gegevens van kinderen verdienen extra waarborgen, omdat zij kwetsbaarder zijn en de gevolgen van verwerking lastig kunnen overzien. Gevoeligheid is bovendien contextafhankelijk: losse data lijken soms onschuldig, maar in combinatie nemen privacyrisico’s toe, bijvoorbeeld voor discriminatie, identiteitsfraude of ongewenste profilering. Daarom draait verantwoord omgaan met persoonsgegevens om dataminimalisatie, duidelijke doelen en passende beveiliging, zodat je niet meer vastlegt en bewaart dan nodig is voor een legitiem en transparant doel.
Bijzondere persoonsgegevens (gezondheid, biometrie, religie)
Bijzondere persoonsgegevens zijn gegevens die extra bescherming vragen omdat misbruik grote impact kan hebben. Gezondheidsgegevens gaan over je fysieke of mentale toestand, van medische dossiers en testuitslagen tot informatie over medicatie of beperkingen. Biometrische gegevens zoals vingerafdrukken, gezichts- of irisscans vallen hieronder wanneer ze worden gebruikt om je uniek te identificeren. Gegevens over religie of levensovertuiging zijn ook bijzonder, bijvoorbeeld als je staat ingeschreven bij een geloofsgemeenschap of als je voorkeuren duidelijk je geloof onthullen.
De AVG verbiedt verwerking in principe, behalve onder strikte voorwaarden zoals uitdrukkelijke toestemming, zorgverlening of zwaarwegend publiek belang. Werk je toch met dit soort data, dan moet je extra waarborgen regelen: alleen het strikt noodzakelijke verzamelen, toegang beperken, versleutelen en vooraf de risico’s beoordelen.
Strafrechtelijke gegevens
gaan over strafbare feiten en maatregelen die daarmee samenhangen, zoals veroordelingen, verdenkingen, boetes, taakstraf, rijontzegging of een stadionverbod. Deze gegevens zijn extra risicovol, omdat verkeerde of onnodige verwerking je reputatie en kansen sterk kan schaden. Onder de AVG mag verwerking in principe alleen onder verantwoordelijkheid van bevoegde autoriteiten of als een specifieke wet dit toestaat met strikte waarborgen.
Werkgevers en organisaties mogen hier dus niet zomaar mee aan de slag. Een VOG of uittreksel uit het strafregister mag je soms vragen, maar de inhoud kopiëren of bewaren is meestal niet toegestaan; je registreert hooguit de uitkomst (geschikt/niet geschikt). Als je zulke gegevens toch verwerkt, moet je noodzaak aantonen, toegang strikt beperken, versleutelen, kort bewaren en vaak vooraf een risicoanalyse uitvoeren.
Gegevens van kinderen en extra waarborgen
Als je gegevens van kinderen verwerkt, moet je extra voorzichtig zijn omdat zij de gevolgen lastig kunnen overzien. Voor online diensten heb je vaak ouderlijke toestemming nodig: in Nederland onder de 16 jaar, in België ligt de grens meestal op 13. Zorg voor begrijpelijke privacy-informatie in taal die kinderen snappen, verifieer leeftijd en toestemming op een proportionele manier en verzamel niet meer dan strikt nodig is.
Voorkom profilering en marketing gericht op kinderen, tenzij je een duidelijke grond en passende bescherming hebt. Stel korte bewaartermijnen in, versleutel data, beperk toegang en log wie wat doet. Bij risicovolle verwerkingen, zoals tracking of gevoelige data, hoort een DPIA en een ontwerp dat veiligheid en welzijn van kinderen voorop zet.
[TIP] Tip: Classificeer persoonsgegevens op gevoeligheid; beperk inzage tot strikt noodzakelijke rollen.
Persoonsgegevens verwerken: wat moet je regelen
Voordat je persoonsgegevens verwerkt, bepaal je duidelijke doelen en kies je een rechtsgrond, zoals toestemming, overeenkomst of gerechtvaardigd belang, en leg je vast dat je niet meer verzamelt dan nodig is. Je informeert mensen helder via een privacyverklaring, inclusief wat je verzamelt, waarom, hoe lang je bewaart en met wie je deelt. Verwerk je namens een klant of werk je met leveranciers, dan sluit je een verwerkersovereenkomst en houd je een register van verwerkingsactiviteiten bij. Beveiliging regel je met passende maatregelen zoals versleuteling, toegangsbeheer, logging en periodieke tests, plus een bewaartermijnenbeleid voor veilig verwijderen.
Faciliteer rechten zoals inzage, correctie, wissen, bezwaar en dataportabiliteit met een werkbaar proces. Bij verhoogd risico voer je een DPIA uit en pas je privacy by design en privacy by default toe. Let op internationale doorgiften buiten de EER en zorg voor passende waarborgen. Richt ook een datalekprocedure in voor snelle melding binnen 72 uur, train je team en bepaal of je een functionaris voor gegevensbescherming nodig hebt.
Rechtsgrond, doelbinding en dataminimalisatie
Bij het verwerken van persoonsgegevens heb je een geldige rechtsgrond nodig: toestemming, uitvoering van een overeenkomst, een wettelijke plicht, vitale belangen, een taak van algemeen belang of een gerechtvaardigd belang. Je kiest bewust en legt vast waarom die basis past, inclusief een belangenafweging bij gerechtvaardigd belang. Doelbinding betekent dat je vooraf concrete, specifieke doelen bepaalt en data niet later voor iets anders gebruikt, tenzij het nieuwe doel verenigbaar is met het oorspronkelijke; toets dat en informeer betrokkenen.
Dataminimalisatie vraagt dat je alleen verzamelt wat noodzakelijk is, niet nice-to-have. Beperk velden, maak optioneel wat kan, pseudonimiseer waar mogelijk en koppel korte bewaartermijnen aan het doel. Check per dataset: heb je dit echt nodig, kan het minder precies, en kun je standaard privacyvriendelijke instellingen hanteren?
Bewaartermijnen en veilig verwijderen
Je bewaart persoonsgegevens niet langer dan nodig is voor je doelen en voor wettelijke plichten, zoals boekhoudregels (vaak zeven jaar). Leg dit vast in een retentiebeleid, oftewel bewaarbeleid: per dataset staat erin waarom je de gegevens hebt, hoe lang je ze nodig hebt en wat er daarna gebeurt. Richt automatische opschoning in zodat data na afloop wordt verwijderd of geanonimiseerd (onomkeerbaar ontdoen van de link met jou).
Maak duidelijke afspraken over back-ups: beperk de bewaartijd, zet ze niet zomaar terug en zorg dat verwijderde records bij een herstel alsnog worden gewist. Verwijder veilig met passende methoden, zoals overschrijven, versleuteld wissen of fysieke vernietiging van dragers. Registreer wie wat verwijdert en wanneer, controleer regelmatig of dit goed gaat en neem dezelfde afspraken op in contracten met je verwerkers.
Delen met derden en verwerkersovereenkomsten
Als je persoonsgegevens deelt, bepaal je eerst of de partij een verwerker is of zelf (gezamenlijk) verantwoordelijk. Gaat het om een verwerker, dan is een verwerkersovereenkomst verplicht: je legt onderwerp en duur vast, soorten gegevens en betrokkenen, doeleinden, verwerkingsinstructies, passende beveiliging, geheimhouding, inzet van subverwerkers met jouw toestemming, datalekmeldingen, ondersteuning bij verzoeken van betrokkenen, audits, internationale doorgiften en wat er bij einde verwerking gebeurt (wissen of teruggeven).
Deel je met een andere verantwoordelijke, maak dan duidelijke afspraken in een gegevensdelingsafspraak en zorg dat jullie elk een eigen rechtsgrond en transparantie regelen. Deel alleen wat strikt nodig is, pseudonimiseer waar kan en toets beveiliging en locatie van data. Bij doorgifte buiten de EER regel je passende waarborgen, zoals SCC’s of een adequaatheidsbesluit.
[TIP] Tip: Leg per persoonsgegeven doel, grondslag en bewaartermijn vast.
Rechten, cookies en incidenten
Je moet zorgen dat mensen hun rechten makkelijk kunnen uitoefenen: inzage in hun gegevens, correctie van fouten, verwijdering als data niet meer nodig is, beperking van verwerking, bezwaar tegen marketing of profiling, dataportabiliteit en uitleg en menselijke tussenkomst bij volledig geautomatiseerde besluiten. Richt een duidelijk proces in met identiteit-check, haalbare termijnen en een vast aanspreekpunt. Voor cookies en tracking zorg je voor transparantie en geldige toestemming waar nodig: plaats alleen noodzakelijke cookies zonder toestemming en vraag vooraf toestemming voor analytische (niet-privacyvriendelijke), advertentie- en profileringcookies. Werk met een toestemmingsbanner die begrijpelijk is, geef een voorkeurencentrum en log keuzes zodat je ze kunt aantonen.
Minimaliseer tracking, stel standaard privacyvriendelijk in en evalueer regelmatig of tags en scripts nog nodig zijn. Bij incidenten en datalekken heb je een strak draaiboek: detecteren, impact beoordelen, bron dichten, documenteren, en zo nodig binnen 72 uur melden aan de toezichthouder en bij hoog risico ook aan de betrokkenen. Houd een datalekregister bij, oefen je responsteam en leg afspraken vast met leveranciers. Door rechten te respecteren, cookies eerlijk in te zetten en incidenten snel en transparant te managen, verklein je risico’s en bouw je vertrouwen op.
Rechten van betrokkenen (inzage, wissen, bezwaar, dataportabiliteit)
Je hebt recht op inzage: je mag weten welke gegevens over je worden verwerkt, voor welke doelen, met wie ze worden gedeeld, hoe lang ze worden bewaard en je ontvangt een kopie. Wissen vraag je wanneer data niet langer nodig zijn, je toestemming intrekt, je bezwaar slaagt of de verwerking onrechtmatig is; soms mag wissen niet door een wettelijke plicht of belangrijke archivering. Bezwaar kun je altijd maken tegen direct marketing (inclusief profilering) en bij verwerking op gerechtvaardigd belang moet je belangenafweging worden herzien.
Dataportabiliteit geldt voor gegevens die je zelf hebt verstrekt, verwerkt op basis van toestemming of overeenkomst en op geautomatiseerde wijze; je ontvangt die in een gestructureerd, gangbaar, machineleesbaar formaat of laat ze rechtstreeks doorsturen als dat technisch kan. Reageer binnen een maand, verifieer identiteit en leg beslissingen vast.
Cookies, tracking en profilering (transparantie en toestemming)
Cookies en vergelijkbare technieken plaatsen unieke identifiers op je device, bijvoorbeeld een cookie-ID of fingerprint, om je bezoek te meten, je interesses te volgen of advertenties te personaliseren. Voor alle niet-noodzakelijke cookies heb je vooraf geldige toestemming nodig: vrij, specifiek, geïnformeerd, ondubbelzinnig en even makkelijk te weigeren als te accepteren. Geen vooraf aangevinkte vakjes, geen verborgen opties, en je moet toestemming net zo eenvoudig kunnen intrekken.
Noodzakelijke cookies voor basisfuncties mogen zonder toestemming, maar leg wel uit wat ze doen. Privacyvriendelijke, geaggregeerde analytics kunnen soms zonder toestemming als je ze strikt instelt en geen gegevens deelt. Bij profilering vertel je helder wat je doet, met welke gegevens en voor welk doel, bied je een bezwaaroptie en voorkom je verrassingen. Leg keuzes vast, toon ze aan en werk je cookie- en privacyverklaring actueel bij.
Datalekken en meldplicht (binnen 72 uur)
Een datalek is elk beveiligingsincident waarbij persoonsgegevens verloren gaan of onrechtmatig worden gewijzigd, ingezien of verstrekt. Handel snel en zorgvuldig om risico’s voor betrokkenen te beperken.
- Definitie en eerste acties: incident direct indammen, oorzaak vaststellen, aard en omvang bepalen en het risico voor betrokkenen beoordelen; leg het incident meteen vast in je datalekkenregister.
- Meldplicht binnen 72 uur: is een risico waarschijnlijk, meld zonder onredelijke vertraging en waar mogelijk binnen 72 uur bij de toezichthouder (Autoriteit Persoonsgegevens); ben je later, motiveer waarom; bij hoog risico informeer je betrokkenen in duidelijke taal over wat er is gebeurd, welke gegevens zijn geraakt, de mogelijke gevolgen, de genomen maatregelen en een contactpunt.
- Documentatie, samenwerking en voorbereiding: registreer feiten, categorieën gegevens, aantallen betrokkenen, waarschijnlijke gevolgen en acties; zorg dat verwerkers je onmiddellijk informeren; test en oefen je incidentrespons en verbeter procedures op basis van evaluaties.
Door snel te handelen, correct te melden en goed te documenteren, verklein je de impact en voldoe je aan de AVG. Maak van datalekrespons een routine via training en periodieke evaluatie.
Veelgestelde vragen over persoonsgegeven
Wat is het belangrijkste om te weten over persoonsgegeven?
Een persoonsgegeven is volgens de AVG alle informatie over een identificeerbare persoon, direct of indirect. Denk aan naam, e-mail, IP-adres, cookie-ID of locatie. Pseudonimisering vermindert risico, anonimisering maakt gegevens onherleidbaar.
Hoe begin je het beste met persoonsgegeven?
Inventariseer gegevens en doelen, bepaal rechtsgrond per verwerking en pas dataminimalisatie toe. Stel bewaartermijnen vast, regel veilige verwijdering, sluit verwerkersovereenkomsten, informeer betrokkenen, beheer cookies/toestemming en documenteer in een register. Voer zo nodig een DPIA uit.
Wat zijn veelgemaakte fouten bij persoonsgegeven?
Te veel data verzamelen zonder doelen of rechtsgrond, ontbrekende verwerkersovereenkomsten, zwakke beveiliging en vage bewaartermijnen. Tracking zonder toestemming, rechtenverzoeken negeren, bijzondere of kinderdata onjuist verwerken, datalekken niet binnen 72 uur melden, pseudonimisering verwarren met anonimisering.