Wat zijn persoonsgegevens onder de GDPR?

De EU heeft de definitie van persoonsgegevens in het kader van de GDPR aanzienlijk uitgebreid.

Om de verschillende soorten data te onderscheiden die organisaties nu verzamelen over burgers.

Onder andere online identifiers zoals IP-adressen kwalificeren zich nu ook als persoonsgegevens.
Andere gegevens; zoals economische, culturele of geestelijke gezondheidsinformatie, worden ook beschouwd als persoonlijk identificeerbare informatie.

Voor gepseudonimiseerde persoonsgegevens kunnen ook GDPR-regels gelden, afhankelijk van hoe gemakkelijk of moeilijk het is om te bepalen welke gegevens het zijn, of van wie deze zijn.

Alles wat in het kader van de Wet Gegevensbescherming van 1992 als persoonsgegeven geldt, valt ook onder de GDPR.

Artikel 4: Persoonsgegevens

De tekst van de verordening omschrijft persoonsgegevens als volgt

“Persoonsgegevens”: iedere informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”); als identificeerbare natuurlijke persoon wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiesymbool zoals een naam, een identificatienummer, locatiegegevens, een online-identificatiesymbool of een of meer specifieke factoren die kenmerkend zijn voor de fysieke, fysiologische, genetische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon;