Wilt u nog  iets van ons  weten?

KennisBank

AVG - Datalek door onvoldoende anonimiseren

Een gepubliceerde beslissing van de Kamer voor Gerechtsdeurwaarders geeft aanleiding om nog eens duidelijk te zijn over hetgeen onder de Algemene Verordening Gegevensbescherming wordt beoordeeld als een persoonsgegeven.

In de publicatie van haar beslissing van 22 maart 2016 maakt de Tuchtkamer voor Gerechtsdeurwaarders - waarschijnlijk onbedoeld - zoveel gegevens bekend dat er sprake is van het delen van persoonsgegeven. Feitelijk een datalek dus.

Persoonsgegeven

De AVG heeft bij het vaststellen of een gegeven een persoonsgegeven een veel ruimere beoordeling dan die onder haar Nederlandse voorganger; de Wet Bescherming Persoonsgegevens. De AVG stelt dat door de mogelijkheid een persoon te onderscheiden, je iemand geïdentificeerd hebt. Er is geen aanvullende eis dat deze persoon is te herkennen is aan bijvoorbeeld naam en adres. De enige eis is dat het gegeven zelf of door combinatie van gegevens een dusdanig uniek beeld ontstaat dat de gegevens maar op één persoon betrekking kunnen hebben.

Kamerbesluit

Naast huidige woonplaats van de klager - hetgeen op zichzelf staand nog geen persoonsgegeven is - vermeldt het 'geanonimiseerde' kamerbesluit in het feitenrelaas ook dat klager in een specifieke periode (met aangegeven begin en einddatum) deelnam aan een met name benoemd exchange programma. En geeft het voormalige adres van klager, het 'guesthouse van de universiteit'.

 

Het criteria voor een persoonsgegeven is dat met de informatie of door combinatie van de informatie een persoon direct of indirect kan worden geïdentificeerd. Identificatie betekent dat een persoon van andere personen is te onderscheiden. Dat is hier het geval. Door de combinatie van gegevens is het mogelijk te achterhalen om welke student het gaat.

Datalek

Daarmee deelt de tuchtkamer in haar gepubliceerde beslissing persoonsgegevens. En is er sprake van een datalek. De casus illustreert dat het niet eenvoudig is om sluitend te anonimiseren.

Kwaliteitsrekening

Uit de tenaamstelling van deze bankrekening moet blijken dat het gaat om een bijzondere bankrekening zoals bedoeld in artikel 19 GDW. Het eerste lid van dit artikel schrijft voor dat uit de tenaamstelling de hoedanigheid van de houder van deze bankrekening blijkt. Uit de omschrijving op het dagafschrift dient te blijken dat het een bankrekening is waarop cliëntengelden worden bewaard. De tenaamstelling van de bankrekening dient bijvoorbeeld te luiden “Gerechtsdeurwaarderskantoor X inzake cliëntengelden” of “Gerechtsdeurwaarderskantoor X inzake derdengelden” of “gerechtsdeurwaarder X, Kwaliteitsrekening”.

In het contract met de bank dient voorts een verwijzing naar artikel 19 GDW te zijn opgenomen.