Wat zijn precies persoonsgegevens, welke persoonsgegevens mag je afgeven, opvragen, verzamelen en weer verwijderen?

Volgens de AVG gaat het bij persoonsgegevens om alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene). Een natuurlijke persoon is identificeerbaar als aan de hand van beschikbare gegevens over die persoon direct of indirect kan worden vastgesteld wie het is.

Het lijkt er dus op dat als een stukje informatie niet kan leiden tot het vaststellen wie een persoon is het geen persoonsgegeven betreft. Het vervelende is dat het niet bekend is of de identiteit kan worden vastgesteld met behulp van tevens andere beschikbare gegevens. Dit kan ook gaan om openbare gegevens. Door het combineren van deze gegevens kan de identiteit worden achterhaald. De conclusie is dat het niet verstrekken van gegevens het beste is hoe onwaarschijnlijk het ook lijkt dat met verstrekte gegevens de identiteit kan worden achterhaald.

Toch zullen er in het dagelijks verkeer persoonsgegevens moeten worden afgegeven en verzameld. Om dat mogelijk te maken geeft de AVG een zestal criteria aan op grond waarvan persoonsgegevens mogen of moeten worden afgegeven en verzamelt. Het meest relevant voor het bedrijfsleven zijn de gevallen waarbij het recht om gegevens te verzamelen is gebaseerd op een mondelinge overeenkomst, een contract of een wettelijke verplichting.

De verzamelde gegevens zullen ook weer een keer moeten worden verwijderd. De gegevens moeten worden verwijderd zodra er geen noodzaak meer is om de gegevens aan te houden (het geen doel meer dient) of zodra er geen wettelijke of contractuele verplichtingen zijn om de gegevens nog langer te bewaren. Het kan dus zo zijn dat, ook al wordt er niets meer met de gegevens gedaan, deze nog wel moeten worden bewaard vanwege wettelijke en/of contractuele verplichtingen.