Terug naar blog

Wat zijn PII, niet-PII en persoonsgegevens?

Data Privacy & Security

Geschreven door ,

Gepubliceerd oktober 7, 2022 · Bijgewerkt oktober 17, 2022

Wat zijn PII, niet-PII en persoonsgegevens?

Persoonlijk identificeerbare informatie (PII) en persoonsgegevens zijn twee classificaties van gegevens die vaak voor verwarring zorgen bij organisaties die dergelijke gegevens verzamelen, opslaan en analyseren.

PII wordt gebruikt in de VS, maar wordt in geen enkel rechtsdocument gedefinieerd. Het rechtssysteem in de Verenigde Staten is een mengeling van talrijke federale en staatswetten en sectorspecifieke voorschriften. Deze definiëren en classificeren allemaal verschillende stukken informatie die vallen onder PII.

Anderzijds hebben persoonsgegevens één juridische betekenis, die is vastgelegd in de Algemene verordening gegevensbescherming (AVG), die in de hele Europese Unie (EU) als wet is aanvaard.

Beide termen hebben een gemeenschappelijke basis, namelijk het classificeren van informatie die de identiteit van een persoon direct of indirect kan onthullen.

Maar waarom is dat zo belangrijk? Als websitebeheerder, app-maker of producteigenaar moet je je ervan bewust zijn dat de sporen die bezoekers en gebruikers achterlaten van gevoelige aard kunnen zijn. Deze sporen kunnen je in staat stellen personen te identificeren, dus je moet uiterst voorzichtig met dergelijke gegevens omgaan. Vanuit juridisch oogpunt kan er sprake zijn van inbreuken en overtredingen met ernstige gevolgen. Het grotere geheel begrijpen is cruciaal voor de beveiliging van je organisatie en de naleving van de wetgeving.

Wat is persoonlijk identificeerbare informatie (PII)?

PII wordt vaak gebruikt door Amerikaanse overheidsinstanties en niet-gouvernementele organisaties. In de VS ontbreekt echter één doorslaggevende wet over PII, dus je begrip van PII kan verschillen afhankelijk van jouw specifieke situatie. 

De meest gebruikelijke definitie wordt gegeven door het National Institute of Standards and Technology (NIST).

Dit staat er:

PII is alle informatie over een persoon die door een instantie wordt bijgehouden, waaronder (1) alle informatie die kan worden gebruikt om de identiteit van een persoon vast te stellen of te traceren, zoals naam, burgerservicenummer, geboortedatum en -plaats, meisjesnaam van de moeder of biometrische gegevens; en (2) alle andere informatie die aan een persoon is gekoppeld of kan worden gekoppeld, zoals medische, educatie-gerelateerde, financiële en werkgelegenheidsinformatie.

De grens tussen PII en andere soorten informatie is echter vaag. Zoals benadrukt door de US General Services Administrationis de “definitie van PII niet verankerd aan één enkele categorie van informatie of technologie. Het vereist veeleer een beoordeling per geval van het specifieke risico dat voor een persoon kan worden vastgesteld“.

Welke gegevens worden als PII beschouwd?

Volgens het NIST kan PII in twee categorieën worden verdeeld: gekoppelde en koppelbare informatie.

Gekoppelde informatie is directer. Het kan elk persoonlijk detail omvatten dat kan worden gebruikt om een persoon te identificeren. Voorbeelden van dit soort PII zijn:

  • Voor- en achternaam
  • Thuisadres
  • E-mailadres
  • Burgerservicenummer
  • Paspoortnummer
  • Rijbewijsnummer
  • Creditcardnummers
  • Geboortedatum
  • Telefoonnummer
  • Eigendommen, bv. voertuigidentificatienummer (VIN)
  • Inloggegevens
  • Serienummer van processor of apparaat*
  • Media access control (MAC)*
  • Internet Protocol (IP)-adres*
  • Apparaat-ID’s* 
  • Cookies*

Volgens het NIST kan gekoppelde informatie “activagegevens zijn, zoals een Internet Protocol (IP)- of Media Access Control (MAC)-adres of een andere hostspecifieke persistente statische identificatiecode die consequent gekoppeld is aan een bepaalde persoon of een kleine, welomschreven groep personen“. Dat betekent dat cookies en apparaat-ID onder de definitie van PII vallen.

Koppelbare informatie is indirect en kan op zichzelf een persoon niet identificeren, maar kan in combinatie met andere informatie een persoon identificeren, opsporen of lokaliseren.

Hier volgen enkele voorbeelden van PII die als koppelbare informatie kan worden beschouwd:

  • Voor- of achternaam (indien gebruikelijk)
  • Land, staat, stad, postcode
  • Geslacht
  • Ras
  • Niet-specifieke leeftijd (bv. 30-40 in plaats van 30)
  • Functie en werkplek

Wat is niet-PII?

Niet-persoonlijk identificeerbare informatie (niet-PII) betreft gegevens die op zichzelf niet kunnen worden gebruikt om een persoon te traceren of te identificeren. Voorbeelden van niet-PII zijn onder meer:

  • Geaggregeerde statistieken over het gebruik van product/dienst
  • Gedeeltelijk of volledig gemaskeerde IP-adressen

De indeling van PII en niet-PII is echter vaag. Bovendien verwijst NIST niet naar cookie-ID’s en apparaat-ID’s, zodat veel AdTech-bedrijven, adverteerders en uitgevers deze als niet-PII beschouwen. Zoals we zullen zien, staat dit in contrast met de definitie van persoonsgegevens, die dergelijke digitale tackers behandelt als informatie waarmee een persoon kan worden geïdentificeerd.

Wat zijn persoonsgegevens?

Persoonsgegevens is een juridische term die de AVG definieert als het volgende:

Artikel 4, lid 1:

 “persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Deze definitie geldt niet alleen voor de naam en achternaam van een persoon, maar ook voor details waarmee die persoon kan worden geïdentificeerd. Dat is bijvoorbeeld het geval wanneer je een bezoeker die terugkeert op je website kunt identificeren met behulp van een cookie of inloggegevens.

Onder de AVG kun je cookies als persoonsgegevens beschouwen omdat volgens

Overweging 30:

Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen.

En de definitie van persoonsgegevens omvat verschillende onderdelen van informatie zoals:

Het gaat in principe om alle informatie die direct of indirect betrekking heeft op een individu of een identificeerbare persoon.

Wat zijn niet-persoonlijke gegevens?

Volgens de AVG-bepalingen gaat het bij niet-persoonlijke gegevens om gegevens waarmee je een individu niet kunt identificeren. Het beste voorbeeld zijn anonieme gegevens. Volgens

Overweging 26:

De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is.

Andere voorbeelden van niet-persoonlijke gegevens omvatten, maar zijn niet beperkt tot:

  • Algemene gegevens, zoals leeftijdsgroep, bijv. 20-40
  • Door overheidsinstanties of gemeenten verzamelde informatie, zoals volkstellingsgegevens of belastingopbrengsten voor door de overheid gefinancierde werken
  • Geaggregeerde statistieken over het gebruik van een product of dienst
  • Gedeeltelijk of volledig gemaskeerde IP-adressen

Hoe PII verschilt van persoonsgegevens

Zoals we hebben geconcludeerd, lijken de verschillen tussen deze twee soorten gegevens in bepaalde contexten nogal vaag. Als we hier een duidelijke lijn moeten trekken, dan passen we het wettelijk kader toe en op wie deze gegevens van toepassing zijn.

Wettelijk kader

Alle regels en verantwoordelijkheden met betrekking tot persoonsgegevens zijn vastgelegd in de AVGdie als doel heeft het verzamelen van gegevens van inwoners van de EU te versterken en te uniformeren. Dit betekent ook dat er een meer uniforme aanpak is van de handhaving, die sinds mei 2018, toen de AVG in werking trad, gestaag is toegenomen.

Het is veel moeilijker om één wet te definiëren die het gebruik van PII reguleert omdat er niet één federale wet is die het gebruik ervan reguleert. Van de verschillende wetten die de verzameling en het gebruik van PII regelen, zijn de belangrijkste echter:

Bovendien regelen zowel gouvernementele als niet-gouvernementele organisaties het juiste gebruik van PII:

  • De Federal Trade Commission (FTC) en haar Department of Consumer Protection
  • Local Departments of Consumer Affairs
  • The Federal Communications Commission (FCC)
  • The National Institute of Standards and Technology (NIST)
  • The Network Advertising Initiative (NAI), een zelfregulerende organisatie

Waar de regels inzake PII en persoonsgegevens van toepassing zijn

Aangezien persoonsgegevens strikt verbonden zijn met de AVG, gaat het om alle inwoners en burgers van de lidstaten van de Europese Economische Ruimte – de 27 lidstaten van de EU plus IJsland, Liechtenstein en Noorwegen. We zullen deze groep kortweg EU-inwoners noemen.

Toch is het toepassingsgebied van de AVG niet echt beperkt tot de EU. Het heeft niet alleen gevolgen voor in de EU gevestigde entiteiten, maar voor vrijwel elk bedrijf dat met de gegevens van ingezetenen van de EU te maken heeft.

Het is daarentegen veel moeilijker te bepalen in welke rechtsgebieden de PII van toepassing is.

Zelfs in de VS, waar de PII zeker van toepassing is, verschilt de toepassing ervan van staat tot staat en van sector tot sector. Verschillende juridische documenten en industrienormen hebben hun eigen mening over wat PII is.

Om deze reden is het vrij moeilijk te bepalen op wie en hoe de PII van toepassing is.

PII, niet-PII en persoonsgegevens: Op de hoogte blijven van de regelgeving inzake gegevensprivacy

De brede definities van PII en persoonsgegevens evolueren en omvatten steeds meer soorten gegevens. De verschillen tussen beide worden ook minder groot. De wettelijke eisen worden aan beide zijden van de Atlantische Oceaan steeds strenger.

Die veranderingen brengen nieuwe uitdagingen met zich mee. Voor alle soorten organisaties betekent dit dat zij beter moeten kijken naar de gegevens die zij verzamelen en dat zij het veranderende juridische landschap moeten volgen om aan de regels te blijven voldoen.

Wij hopen dat in onze blogpost ten minste enkele van je vragen over PII en persoonsgegevens zijn beantwoord. Maar als je meer wilt weten, neem dan gerust op elk moment  contact met ons op. Onze experts lichten je graag in!

Schrijver

Karolina Matuszewska

Senior Content Marketer

Writer and content marketer. Transforms technical jargon into engaging and informative articles.

Zie meer berichten van deze auteur

Schrijver

Karolina Lubowicka

Senior Content Marketer and Social Media Specialist

An experienced copywriter who takes complex topics of data privacy & GDPR and makes them understandable for all. LinkedIn Profile

Zie meer berichten van deze auteur