Wat zijn PII, niet-PII en Persoonsgegevens?

Published: July 24, 2018 Updated: August 14, 2019 Auteur Categorie Data Privacy & Security

In de afgelopen jaren zijn veel mensen zich meer zorgen gaan maken over hun online gegevensprivacy en over wa bedrijven weten over hen, hun webgeschiedenis en hun persoonlijke informatie.

Hoewel het waar is dat gegevens worden verzameld telkens wanneer een gebruiker een website bezoekt, een interactie aangaat met een bericht op sociale media of een online aankoop doet, worden er verschillende soorten gebruikersgegevens bijgehouden – een deel ervan kan worden gebruikt om een ​​individueel persoon te identificeren (bekend als PII) en een deel niet.

Wat is Persoonlijk Identificeerbare Informatie (PII)?

Persoonlijk Identificeerbare Informatie (PII) is een term die regelmatig wordt gebruikt in Ad Tech en Mar Tech, maar deze gaat ruim voorbij deze twee industrieën.

PII wordt vaak vermeld door Amerikaanse overheidsinstanties, zoals het National Institute of Standards and Technology (NIST).

NIST biedt de volgende definitie van PII:

PII is alle informatie over een persoon die door een agentschap wordt onderhouden, waaronder (1) alle informatie die kan worden gebruikt om de identiteit van een persoon te onderscheiden of te achterhalen, zoals naam, burgerservicenummer, geboortedatum en geboorteplaats, naam van de moeder of biometrische gegevens; en (2) alle andere informatie die aan een persoon is gekoppeld of kan worden gekoppeld, zoals medische, educatieve, financiële en werkgelegenheidsinformatie.

Welke gegevens worden als PII beschouwd?

PII kan worden onderverdeeld in twee categorieën: gekoppelde informatie en koppelbare informatie.

Gekoppelde informatie is elk stukje persoonlijke informatie dat kan worden gebruikt om een ​​persoon te identificeren en omvat, maar is niet beperkt tot, het volgende:

  • Voor-en achternaam
  • Thuisadres
  • E-mailadres
  • Burgerservicenummer
  • Paspoortnummer
  • Rijbewijsnummer
  • Creditcardnummers
  • Geboortedatum
  • Telefoonnummer
  • Inloggegevens

Koppelbare informatie daarentegen is informatie die op zichzelf niet in staat is om een ​​persoon te identificeren, maar in combinatie met een ander stuk informatie een persoon kan identificeren, traceren of lokaliseren.

Hier zijn enkele voorbeelden van koppelbare informatie:

  • Voor- of achternaam (indien gebruikelijk)
  • Land, staat, stad, postcode
  • Geslacht
  • Ras
  • Niet-specifieke leeftijd (bijvoorbeeld 30-40 in plaats van 30)
  • Jobpositie en werkplek

Wat is niet-PII?

Niet-Persoonlijk Identificeerbare Informatie (niet-PII) zijn gegevens die niet op zichzelf kunnen worden gebruikt om een ​​persoon te identificeren, te traceren of te lokaliseren, dus in feite het tegenovergestelde van PII.

Voorbeelden van niet-PII omvatten, maar zijn niet beperkt tot:

  • Apparaat-ID’s
  • IP-adressen
  • Cookies

Wat is het verschil tussen PII en Persoonsgegevens?

Hoewel PII een algemeen erkende term is, is er een andere term die veel mensen misschien kennen – persoonsgegevens.

Het verschil tussen PII en persoonsgegevens kan als volgt worden verklaard:

Persoonlijk Identificeerbare Informatie (PII) is een term die voornamelijk in de VS wordt gebruikt.

Persoonsgegevens worden beschouwd als het Europese equivalent van PII; het komt echter niet helemaal overeen met de PII-definitie die populair is in de VS. De nieuwe EU-wetgeving voor gegevensbescherming – Algemene Verordening Gegevensbescherming (AVG) definieert persoonsgegevens als volgt:

Artikel 4, lid 1: persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Belangrijke notitie! AVG stelt dat zelfs cookies als persoonsgegevens kunnen worden beschouwd. Dit wordt gedetailleerd beschreven in Grond 30 van de nieuwe wet:
Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen.

De toekomst van PII

De scheidingslijn tussen PII en niet-PII wordt elk jaar dunner en de online reclame- en marketingsector heeft al gezien dat overheidsorganisaties hun standpunt verleggen over wat PII is en wat niet – de FTC en Art. 29 WP zijn twee uitstekende voorbeelden.

De Federal Trade Commission (FTC)

In een follow-up post op haar toespraak op de NAI-top in San Francisco in 2016, sprak Jessica Rich, de directeur van het Bureau voor Consumentenbescherming van de Federal Trade Commission (FTC), over het onderwerp persistente identificatoren:

… Wij [de FTC] beschouwen gegevens als ‘persoonlijk identificeerbaar’ en dus als garantie voor privacybescherming, wanneer deze redelijkerwijs aan een bepaalde persoon, computer of apparaat kunnen worden gekoppeld. In veel gevallen voldoen persistente identificatoren, zoals apparaat-ID’s, MAC-adressen, statische IP-adressen of cookies aan deze voorwaarden.

De post ging verder met te zeggen dat de Commissie de definitie van persoonlijke informatie heeft gewijzigd om persistente identificatoren te bevatten, inclusief, maar niet beperkt tot:

  • Een klantnummer in een cookie
  • Een internetprotocol (IP)-adres
  • Een serienummer van een processor of apparaat
  • Een unieke apparaatidentificator

De Groep voor de Bescherming van Persoonsgegevens overeenkomstig Artikel 29.

Deze recente onthulling van de FTC volgt een soortgelijke beweging van de Europese Unie (EU) die een paar jaar geleden is gestart toen de Groep voor de Bescherming van Persoonsgegevens overeenkomstig Artikel 29 opperde dat IP-adressen als persoonsgegevens moeten worden beschouwd.

De implicaties van deze twee bewegingen zijn aanzienlijk, vooral voor de Ad Tech- en Mar Tech-industrie.

Om te beginnen betekent dit dat er een breuk bestaat tussen de Gedragscode van het NAI en de definitie van persoonlijke informatie van overheidsorganisaties zoals de FTC en de EU, waardoor het voor bedrijven moeilijk is om aan privacystandaarden en beste praktijken te voldoen.

Als organisaties zoals de FTC en de EU een bredere definitie van PII en persoonsgegevens blijven creëren, zouden er bovendien nieuwe gebieden van Ad Tech kunnen ontstaan, zoals device fingerprinting, die afhankelijk zijn van het verzamelen van persistente identificatoren, die zwaar worden getroffen door nieuwe privacyregels.

Auteur:

Karolina Lubowicka, Content Marketer

Content marketing and social media enthusiast tweeting for @PiwikPRO.

Bekijk meer berichten van deze auteur

Delen