Benieuwd wat nu precies onder persoonsgegevens valt? Deze blog laat zien hoe je met het principe herleidbaarheid snel bepaalt of data jou direct of indirect kan identificeren-van naam en BSN tot IP-adressen, cookies, device-ID’s en foto’s-en wanneer gevoelige categorieën extra bescherming vragen. Je ontdekt ook het verschil tussen pseudonimisering en echte anonimisering, inclusief voorbeelden, grensgevallen en praktische checks om fouten te voorkomen.
Wat zijn persoonsgegevens
Persoonsgegevens zijn alle gegevens die iets zeggen over jou als mens, of die je direct of indirect herkenbaar maken. Volgens de AVG, de Europese privacywet, gaat het om informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Direct herkenbaar is duidelijk: je naam, adres, e-mailadres, telefoonnummer, klantnummer of burgerservicenummer. Indirect herkenbaar ontstaat zodra losse stukjes samen naar jouw identiteit wijzen, zoals IP-adres, cookie-ID, kenteken, locatiegeschiedenis, device-ID, of een combinatie van leeftijd, postcode en aankoopgedrag. Zelfs een foto, stemopname of biometrische kenmerken vallen hieronder als je daarmee aan jou kunt koppelen. Er zijn ook bijzondere categorieën die extra bescherming nodig hebben, bijvoorbeeld gegevens over gezondheid, ras of etnische afkomst, religie, politieke opvattingen, seksuele gerichtheid, genetische en biometrische data.
Pseudoniem gemaakte data – denk aan een klant-ID zonder naam – blijft persoonsgegevens zolang je met redelijke middelen de link kunt leggen; echt anonieme data valt er niet onder. Gegevens over een bedrijf zijn geen persoonsgegevens, tenzij ze te herleiden zijn tot jou, zoals bij een eenmanszaak of een zakelijk e-mailadres met je naam. Het gaat dus minder om het soort gegeven en meer om de herleidbaarheid: zodra informatie een mens kan identificeren, praat je over persoonsgegevens. Dat is de kern van de definitie.
Definitie en kernbegrippen
Persoonsgegevens zijn alle gegevens die gaan over jou of waarmee je direct of indirect te identificeren bent. De kern is “herleidbaarheid”: als iemand je met redelijke middelen kan terugvinden op basis van de informatie, dan gaat het om persoonsgegevens. Direct herkenbaar zijn bijvoorbeeld je naam of burgerservicenummer; indirect herkenbaar zijn combinaties zoals IP-adres, cookie-ID, locatiegegevens of een unieke klantcode. De persoon op wie de gegevens betrekking hebben heet de betrokkene.
Bijzondere persoonsgegevens, zoals gezondheids- of biometrische data, krijgen extra bescherming. Pseudonimisering vervangt herkenbare gegevens door een sleutel, maar blijft persoonsgegevens zolang je de koppeling kunt leggen; anonimisering verwijdert die koppeling definitief. Ook online identifiers en device-data vallen hieronder zodra ze aan jou te linken zijn.
Directe VS. indirecte identificatie
Directe identificatie betekent dat één gegeven op zichzelf genoeg is om je te herkennen, zoals je volledige naam, burgerservicenummer, pasfoto of een uniek klantnummer. Indirecte identificatie ontstaat wanneer losse stukjes informatie samen naar jou wijzen. Denk aan een IP-adres, cookie-ID, device-ID, kenteken, locatiepatronen of combinaties zoals leeftijd, postcode en aankoopgeschiedenis. De kernvraag is of iemand je met redelijke middelen binnen een redelijke termijn kan herleiden.
Context speelt daarbij een grote rol: in een klein team kan “HR-adviseur in Gent” je al verraden, terwijl dat landelijk niet zo is. Ook pseudoniemen en interne codes vallen onder indirecte identificatie zolang er een sleutel of aanvullende data bestaat om de koppeling te maken. Kortom, niet alleen naam en nummer identificeren je; juist de combinatie én de context maken je vaak herkenbaar.
[TIP] Tip: Behandel alles wat herleidbaar is tot een persoon als persoonsgegeven.
Wat valt er wel en niet onder persoonsgegevens
Persoonsgegevens zijn alle gegevens die iets over je zeggen of waarmee je direct of indirect te identificeren bent. Daaronder vallen duidelijke zaken als je naam, adres, e-mailadres, telefoonnummer, kenteken, klantnummer en burgerservicenummer, maar ook minder zichtbare identifiers zoals IP-adres, cookie-ID, device-ID, GPS-locaties en je online gedrag als dat aan jou te koppelen is. Foto’s, video’s en audio-opnames zijn persoonsgegevens zodra je herkenbaar bent. Bijzondere categorieën, zoals gezondheidsgegevens, biometrie, genetische info, religie of politieke voorkeur, krijgen extra bescherming. Pseudoniem gemaakte data (bijvoorbeeld een klant-ID zonder naam) blijft persoonsgegevens zolang de koppeling met redelijke middelen te herstellen is; echt anonieme en geaggregeerde data vallen er niet onder.
Pure bedrijfsinformatie is géén persoonsgegevens, maar zodra bedrijfsgegevens naar jou herleiden, zoals een zakelijk e-mailadres met je naam of een eenmanszaak, is dat wel zo. De AVG geldt voor levende personen; gegevens van overledenen vallen er in principe buiten, al kunnen nationale regels aanvullingen geven. De kern: het gaat niet om het type gegeven, maar om de herleidbaarheid naar jou als persoon.
Altijd persoonsgegevens: naam, contact- en identificatiegegevens
Gegevens die je direct herkenbaar maken vallen altijd onder persoonsgegevens. Denk aan je volledige naam of zelfs initialen als die naar jou te herleiden zijn, je adres, e-mailadres en telefoonnummer, maar ook zakelijke contactdetails zoals j.jansen@bedrijf.nl wanneer die duidelijk aan jou gekoppeld zijn. Identificatiegegevens zijn nóg gevoeliger: je burgerservicenummer of rijksregisternummer, paspoort- of ID-kaartnummer, klant- of personeelsnummer, polisnummer en zelfs je kenteken zodra het aan jou te linken is.
Deze gegevens beschrijven jou niet alleen, ze identificeren je rechtstreeks, waardoor ze altijd binnen de privacyregels vallen. Ook varianten of verkorte vormen blijven persoonsgegevens als je ermee te herkennen bent. Kortom: zodra één gegeven je direct aanwijst, is er geen twijfel dat het om persoonsgegevens gaat.
Bijzondere categorieën (gezondheid, biometrie, strafrecht)
Bijzondere categorieën zijn gevoelige persoonsgegevens waarvoor de lat extra hoog ligt. Het gaat onder andere om gegevens over je gezondheid, biometrische gegevens die je uniek identificeren (zoals vingerafdruk of gezichtsscan) en genetische gegevens. Ook informatie over ras of etnische afkomst, religieuze of levensbeschouwelijke overtuigingen, politieke opvattingen, vakbondslidmaatschap en je seksuele leven of gerichtheid hoort hierbij. Strafrechtelijke gegevens vallen niet onder deze categorie, maar kennen wel een eigen, strenge regime: verwerken mag alleen onder specifieke voorwaarden en meestal door bevoegde instanties of met een duidelijke wettelijke basis.
Voor al deze gegevens heb je een sterke grondslag en aanvullende waarborgen nodig, zoals dataminimalisatie, strikte toegangsrechten en goede beveiliging. Kun je je doel zonder deze data bereiken, dan verwerk je ze niet.
Grensgevallen: online identifiers (IP, cookies, device-data)
Online identifiers lijken vaak technisch en onschuldig, maar onder de AVG zijn ze persoonsgegevens zodra ze redelijkerwijs naar jou te herleiden zijn. Een IP-adres – ook een dynamisch IP – kan jou identificeerbaar maken, vooral voor partijen die de koppeling met een account, locatie of tijdstempel hebben. Cookies en mobiele advertentie-ID’s volgen je gedrag over sessies en sites heen; daarmee ontstaat een profiel dat naar jou verwijst, ook als je naam nergens staat.
Device-data zoals toestel-ID, fingerprinting, IMEI of MAC-adres werkt net zo: uniek, hardnekkig en vaak lastig te vermijden. Context is beslissend: wie kan met de middelen die hij heeft de link leggen? Gehashte of gepseudonimiseerde identifiers blijven persoonsgegevens zolang herleiding mogelijk is. Alleen echt geanonimiseerde of geaggregeerde data valt buiten het begrip persoonsgegevens.
[TIP] Tip: Inventariseer naam, e-mail, IP-adres, locatie en klantnummers als persoonsgegevens.
Pseudonimisering, anonimisering en aggregatie
Deze tabel vergelijkt pseudonimisering, anonimisering en aggregatie en laat zien wanneer gegevens wel of niet als persoonsgegevens onder de AVG gelden.
| Type gegevens | Status onder AVG | Herleidbaarheid / toets | Voorbeelden en aandachtspunten |
|---|---|---|---|
| Pseudonieme data | Ja, blijft persoonsgegevens (art. 4(5) AVG); regels en grondslag blijven gelden. | Herleiding is redelijkerwijs mogelijk via aanvullende info (sleutel/koppeltabel). | Tokenisatie, hashing met geheime salt, gecodeerde ID’s; sleutel apart en toegang strikt beperken. |
| Anonieme data | Nee, geen persoonsgegevens mits onomkeerbaar geanonimiseerd. | Toets: herleiding mag niet redelijkerwijs mogelijk zijn (context + middelen); geen singling out, linking of inference. | Generalisatie/suppressie, ruis of differentiële privacy; controleer risico’s bij samenvoegen met externe datasets. |
| Geaggregeerde data (voldoende aggregatie) | Doorgaans geen persoonsgegevens, mits individuen niet te onderscheiden zijn. | Geen herleidbaarheid tot personen; groepen zijn groot en niet zeldzaam. | Totalen/percentages per maand of regio; celminimum (bijv. n5) en afronding/suppressie toepassen. |
| Geaggregeerde data (te kleine cellen/oversegmentatie) | Kan nog persoonsgegevens zijn door herleidbaarheidsrisico. | Kleine aantallen of rijke kruistabellen maken singling out en koppeling met andere bronnen mogelijk. | Voorbeeld: n=1-3 per postcode x leeftijd x aandoening; vergroot groepen of onderdruk/samenvoegen categorieën. |
Kern: pseudonieme data valt nog onder de AVG; data is pas buiten scope bij robuuste anonimisering of voldoende aggregatie waarbij redelijke herleiding uitgesloten is en kleine cellen worden voorkomen.
Pseudonimisering vervangt direct herkenbare gegevens door een code, token of gehashte waarde. Je haalt de naam weg, maar de link blijft bestaan via een sleutel of aanvullende data. Daarom blijft het persoonsgegevens en gelden alle AVG-regels, al verlaag je wel het risico als je sleutels gescheiden bewaart en de toegang strikt beperkt. Anonimisering gaat een stap verder: je maakt herleiding naar jou redelijkerwijs onmogelijk en onomkeerbaar. Alleen velden verwijderen is niet genoeg; vaak moet je combineren, generaliseren (bijvoorbeeld leeftijdscategorie in plaats van geboortedatum) of randomiseren (een beetje ruis toevoegen).
De toets is altijd: kan iemand met de middelen die hij realistisch heeft jou alsnog terugvinden? Als dat kan, is het geen anonimiteit. Aggregatie bundelt data naar groepsniveau, zoals aantallen of gemiddelden. Dat valt buiten persoonsgegevens als de groepen groot en homogeen genoeg zijn, maar pas op voor kleine aantallen waarbij je individuen alsnog kunt afleiden. In de praktijk balanceer je steeds tussen bruikbaarheid van data en het minimaliseren van herleidbaarheid.
Pseudonieme data: nog steeds persoonsgegevens
Pseudonieme data lijkt anoniem, maar je blijft identificeerbaar zodra er ergens een sleutel, mapping of extra informatie bestaat om de koppeling te maken. Denk aan een klant-ID dat jouw naam vervangt, een token in een app, of een gehashte e-mail die je met dezelfde hashmethode kunt terugrekenen of matchen. Voor de AVG is dit nog steeds persoonsgegevens, omdat je met redelijke middelen de link kunt herstellen.
Daarom heb je een geldige grondslag nodig, moet je rechten kunnen bieden (inzage, bezwaar, verwijdering) en gelden meldplichten bij datalekken. Pseudonimisering verlaagt wel het risico: bewaar sleutels apart, beperk toegang en log wie bij de mapping kan. Pas als herleiding realistisch onmogelijk is, spreek je over anonimisering, niet eerder.
Anonieme data: wanneer valt het er niet meer onder
Data valt niet langer onder persoonsgegevens als je redelijkerwijs niet meer naar een individu kunt terugleiden, ook niet door te combineren met andere databases of met extra kennis binnen bereik. Anonimisering moet dus onomkeerbaar zijn: geen sleutels, geen patronen die je gemakkelijk kunt herleiden, geen unieke combinaties die één persoon verraden. Alleen kolommen weghalen of hashing toepassen is onvoldoende, want koppeling via dezelfde hash of externe bronnen houdt de herleidbaarheid in stand.
Denk aan generaliseren (leeftijdscategorie), samenvoegen van zeldzame waarden en ruis toevoegen om singling out, linkability en inference te voorkomen. Let op kleine groepen: te fijne segmenten maken re-identificatie weer mogelijk. Zie anonimiteit als een blijvend risico- en contexttoets die je periodiek herijkt, niet als een eenmalige handeling.
Toets: is herleiding redelijkerwijs mogelijk?
Je beoordeelt anonimiteit door te vragen of iemand met redelijke middelen, binnen redelijke tijd en tegen redelijke kosten jou kan terugvinden. Kijk niet alleen naar je eigen organisatie, maar ook naar partijen die toegang hebben tot vergelijkbare data of externe bronnen. Welke technologie is beschikbaar (nu en op korte termijn), hoeveel data is combineerbaar, en zijn er motieven om te herleiden? Wegen actuele maatregelen zoals sleutelscheiding, ruis en groepering op tegen risico’s zoals singling out, linkability en inference? Herhaal deze toets periodiek, want nieuwe datasets en technieken kunnen de uitkomst snel veranderen.
Geaggregeerde en statistische gegevens
Geaggregeerde gegevens bundelen individuele records tot totalen, gemiddelden of percentages, zodat je niet naar één persoon kijkt maar naar een groep. Ze vallen alleen buiten persoonsgegevens als herleiding naar jou redelijkerwijs onmogelijk is. Dat vraagt om voldoende grote en homogene groepen, drempelwaarden voor kleine aantallen, het samenvoegen van zeldzame categorieën en soms een beetje ruis om uitschieters te maskeren.
Let op kruistabellen, tijdreeksen en verschillen tussen opeenvolgende rapporten: daarmee kun je iemand alsnog terugrekenen. Tijdens het maken werk je met brondata en geldt de AVG; het uiteindelijke rapport kan wél buiten persoonsgegevens vallen als anonimiteit goed is geborgd. Kies daarom een minimale groepsgrootte, beperk detailniveaus en voorkom dat meerdere segmentaties samen toch een individu onthullen.
[TIP] Tip: Behandel elk herleidbaar datapunt als persoonsgegeven, inclusief indirecte identificatoren.
Snel bepalen of iets persoonsgegevens is
Bepaal in een paar stappen of data onder ‘persoonsgegevens’ valt. Gebruik deze mini-checklist en let vooral op context en herleidbaarheid.
- Snelle checklist: gaat de info over een mens en kun je iemand direct of indirect identificeren? Direct: naam, (zakelijk of privé) e-mail, telefoon, adres, BSN, klant- of personeelsnummer. Indirect via combinatie: IP + tijdstip, cookie- of device-ID, foto/stem, locatiepatronen, leeftijd + postcode.
- Context- en re-identificatietoets: kan jij of een derde met redelijk beschikbare middelen de persoon (weer) herleiden? Denk aan interne registers, data van partners of openbare bronnen; wat voor jou anoniem lijkt, kan voor een ander herkenbaar zijn.
- Pseudoniem vs. anoniem en valkuilen: pseudonieme data blijft persoonsgegevens zolang er een sleutel of mapping bestaat; echt geanonimiseerde of voldoende geaggregeerde data valt buiten de AVG. Bedrijfsinformatie telt niet, behalve wanneer die naar een natuurlijke persoon wijst (bijv. eenmanszaak, contactpersoon). Veelgemaakte fouten: aannemen dat IP’s of device-data anoniem zijn, combinatiekracht onderschatten, of zonder onderbouwing “anoniem” roepen. Tip: minimaliseer, aggregeer en documenteer je afweging.
Twijfel je na deze stappen nog? Hanteer het zekere voor het onzekere: behandel de data als persoonsgegevens en leg je beoordeling kort vast.
Beslisboom en checklist
Begin met één vraag: gaat de informatie over een levende persoon? Zo ja, controleer of er een direct identificerend gegeven staat, zoals naam of identificatienummer; dan heb je persoonsgegevens. Zo nee, toets indirecte herleidbaarheid: kun je met redelijke middelen, via context, online identifiers of kleine groepen alsnog iemand aanwijzen? Beoordeel of het bijzondere of strafrechtelijke gegevens zijn, want die vragen extra waarborgen.
Kijk vervolgens naar de vorm: pseudoniem gemaakt blijft persoonsgegevens, echt anoniem of voldoende geaggregeerd kan erbuiten vallen. Check ook of het bedrijfsinformatie is die tóch naar jou wijst, bijvoorbeeld via een zakelijk e-mailadres. Sluit af met een snelle realiteitscheck: doelbinding, dataminimalisatie, grondslag, bewaartermijn en beveiliging. Leg de uitkomst vast en herzie bij nieuwe combinaties of datasets.
Veelgemaakte fouten en handige tips
Veelgemaakte fouten zijn het aannemen dat gehashte of pseudonieme data geen persoonsgegevens zijn, online identifiers onderschatten, kleine aantallen in rapporten publiceren en denken dat zakelijke gegevens nooit naar jou herleiden. Context vergeten is gevaarlijk: wat voor jou anoniem lijkt, kan voor een partner of advertentienetwerk herkenbaar zijn. Ook sleutels naast datasets bewaren of productiegegevens klakkeloos als testdata gebruiken vergroot het risico.
Handige tips: toets steeds of herleiding met redelijke middelen mogelijk is, minimaliseer velden en precisie, kies voldoende grote groepen, en scheid sleutels strikt. Documenteer je afwegingen, stel bewaartermijnen in en herzie beslissingen bij nieuwe datasets of technologie. Twijfel je, behandel de data als persoonsgegevens en regel grondslag, rechten en beveiliging volgens de AVG.
Veelgestelde vragen over wat valt er onder persoonsgegevens
Wat is het belangrijkste om te weten over wat valt er onder persoonsgegevens?
Persoonsgegevens zijn alle gegevens waarmee iemand direct of indirect herkenbaar is: naam, contact- en ID-gegevens, maar ook IP, cookies en device-data. Bijzondere categorieën (gezondheid, biometrie, strafrecht) vragen extra bescherming. Pseudoniemen blijven persoonsgegevens; echt anoniem niet.
Hoe begin je het beste met wat valt er onder persoonsgegevens?
Start met een gegevensinventaris: wat verzamel je, waarom, en hoelang. Classificeer ‘altijd’, ‘bijzonder’ en ‘grensgeval’ (IP, cookies, device). Toets redelijke herleidbaarheid, documenteer beslissingen, pas pseudonimisering/anonimisering toe, en gebruik een simpele beslisboom plus checklist.
Wat zijn veelgemaakte fouten bij wat valt er onder persoonsgegevens?
Valkuilen: aannemen dat IP, cookie-ID’s of device-IDs geen persoonsgegevens zijn; denken dat pseudoniemen anoniem zijn; te snel op toestemming leunen; herleidbaarheid niet toetsen; datasets combineren zonder risicoanalyse; onnodige bewaartermijnen; ontbrekende documentatie en onduidelijke doelen.