Materieel en territoriaal toepassingsgebied

De term persoonsgegevens duidt op alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. De Verordening is daardoor van toepassing op alle mogelijke vormen van informatie zoals foto’s, teksten, beeldmateriaal en geluiden.

De gegevens op basis waarvan natuurlijke personen kunnen worden geïdentificeerd betreffen: de naam, een identificatienummer, de locatiegegevens, een online identificator of één of meerdere elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit. Deze gegevens (die men gebruikt om een natuurlijke persoon direct oftewel indirect te identificeren) staan beter bekend als de gewone persoonsgegevens.230

Een andere categorie van persoonsgegevens zijn de bijzondere persoonsgegevens. 231 _{Doordat deze} grotere risico’s met zich meebrengen voor wat betreft de grondrechten en de fundamentele vrijheden behoeven zij een specifieke bescherming.232 _{Het is daarom principieel verboden om deze te verwerken}

228 _{D. DOBBELAERE, en J-C. VERCAUTEREN, “Smart contracts en verzekeringen” in F. HOOGENDIJK, N.}

VANDEZANDE, P-J. AERS (eds.), Smart contracts, Mortsel, Intersentia, 2020, (297) 309-310.

229 _{Lezing 27 februari 2019 “Big Data: impact on Finance” georganiseerd door Capitant Gent.}

230 _{Art. 4, 1) GDPR ; T. BALTHAZAR, “De krachtlijnen van de GDPR en de belangrijkste innovaties voor de zorg”}

in T. BALTHAZAR, P. RAEYMAEKERS, P. BERGHMANS, A. BRACKE, N. BROECKX, E. DELBEKE, J-P. DZIERGWA, F. GOYENS, C. MATHIEU, L. NELEN, M. ROSSEAU, J. SERGEANT, R. SWENNEN, J. VAN LANGENAEKER en A. VIJVERMAN (eds.) , Gegevensbescherming in de zorg - een praktische gids bij de GDPR, Brugge, die Keure / la Charte, 2018, (1) ; INSTITUUT FINANCIEEL RECHT (ed.), Financiële regulering: een dwarsdoorsnede, Mortsel , Intersentia, 2019, (449) 454.

231 _{Art 9 GDPR.}

232 _{I. DE POORTER, “De “GDPR” of Algemene Verordening Gegevensbescherming”, in P. BERGER, C. BIQUET-}

74 tenzij in een aantal limitatief in de wet opgesomde gevallen. Er is sprake van deze persoonsgegevens wanneer er informatie over iemand zijn ras, etnische afkomst, politieke opvatting, religieuze of levensbeschouwelijke overtuiging, lidmaatschap van een vakbond kan worden verkregen. Ook wanneer er genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gezondheidsgegevens of gegevens m.b.t. seksuele geaardheid mee zijn gemoeid.

Beide zonet beschreven categorieën van persoonsgegevens genieten bescherming tijdens de verwerking. Daaronder moet worden begrepen de geheel of gedeeltelijke geautomatiseerde verwerking maar ook de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.233

De verwerking kan gaan over het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afscheren tot wissen of vernietigen van gegevens. Bij Big data speelt vooral het structureren een belangrijke rol, gelet op de grote hoeveelheid ongestructureerde gegevens die daarbij worden verwerkt.

Opdat de GDPR van toepassing is op de verwerking van persoonsgegevens is het irrelevant of de verwerking al dan niet plaatsvindt op het grondgebied van de EER. Wel van belang is dat de Verordening geldt voor ondernemingen die gevestigd zijn binnen234 _{de Europese Economische Ruimte} die in het kader van hun activiteiten persoonsgegevens verwerken of toch laten verwerken, en dat ze voor ondernemingen die zich buiten235 _{de EER bevinden slechts van toepassing is voor zover de} verwerking betrekking heeft op persoonsgegevens van natuurlijke personen die zich in de EER

M. FYON, D. GOENS, L. LEGEIN, S. LIEBAERT, I. PEETERS, M. RAES, F. RAVELINGIEN, J. RICHELLE, L. SAVONET, R. STEENNOT, W. VAN DE WIELE, J. VANDENDRIESSCHE en J. VANNEROM, (eds.), Financiële regulering: een dwarsdoorsnede, Mortsel, Intersentia, 2019, (449) 456 ; N. STROOBANTS, “GDPR en het verwerken van gezondheidsgegevens in private ziekteverzekeringen”, DCCR 2019, nr. 1, (231) 238.

233 _{Art. 2, 1) GDPR; I. DE POORTER, “De “GDPR” of Algemene Verordening Gegevensbescherming”, in P.}

BERGER, C. BIQUET-MATHIEU, D. BLOMMART, F. BOGAERT, J. BOGAERTS, E. CALLENS, I. DE POORTER, V. DE SCHRYVER, C. FABRI, M. FYON, D. GOENS, L. LEGEIN, S. LIEBAERT, I. PEETERS, M. RAES, F. RAVELINGIEN, J. RICHELLE, L. SAVONET, R. STEENNOT, W. VAN DE WIELE, J. VANDENDRIESSCHE en J. VANNEROM, (eds.), Financiële regulering: een dwarsdoorsnede, Mortsel, Intersentia, 2019, (449) 453.

234 _{I. DE POORTER, “De “GDPR” of Algemene Verordening Gegevensbescherming”, in P. BERGER, C. BIQUET-}

MATHIEU, D. BLOMMART, F. BOGAERT, J. BOGAERTS, E. CALLENS, I. DE POORTER, V. DE SCHRYVER, C. FABRI, M. FYON, D. GOENS, L. LEGEIN, S. LIEBAERT, I. PEETERS, M. RAES, F. RAVELINGIEN, J. RICHELLE, L. SAVONET, R. STEENNOT, W. VAN DE WIELE, J. VANDENDRIESSCHE en J. VANNEROM, (eds.), Financiële regulering: een dwarsdoorsnede, Mortsel, Intersentia, 2019, (449) 461-462.

235 _{I. DE POORTER, “De “GDPR” of Algemene Verordening Gegevensbescherming”, in P. BERGER, C. BIQUET-}

MATHIEU, D. BLOMMART, F. BOGAERT, J. BOGAERTS, E. CALLENS, I. DE POORTER, V. DE SCHRYVER, C. FABRI, M. FYON, D. GOENS, L. LEGEIN, S. LIEBAERT, I. PEETERS, M. RAES, F. RAVELINGIEN, J. RICHELLE, L. SAVONET, R. STEENNOT, W. VAN DE WIELE, J. VANDENDRIESSCHE en J. VANNEROM, (eds.), Financiële regulering: een dwarsdoorsnede, Mortsel, Intersentia, 2019, (449) 462-463.

75 bevinden en voor zover de verwerking verband houdt met het aanbieden van goederen en diensten aan inwoners van de EER of het monitoren van gedrag van inwoners van de EER. Dit laatste is aan de orde wanneer een natuurlijke persoon wordt gevolgd op het internet of wanneer er verwerkingstechnieken worden gebruikt om een profiel van hem/haar op te stellen. Aan de hand van dat profiel is het dan de bedoeling om ten aanzien van het individu bindende beslissingen te nemen of zijn/haar persoonlijke voorkeuren en gedragingen te analyseren of te voorspellen.

Hoewel we reeds weten welke gegevens op welk moment bescherming krijgen op basis van de Verordening, is het eveneens interessant om te weten waar de bescherming niet voor geldt. Dit zijn eenvoudig gesteld de anonieme gegevens. Deze gegevens zijn geen persoonsgegevens en vallen daarom niet onder het toepassingsgebied. Dit veronderstelt wel dat de geanonimiseerde gegevens op geen enkele wijze herleid kunnen worden om een natuurlijke persoon direct dan wel indirect te identificeren. Het moet praktisch onmogelijk zijn om de anonimisering ongedaan te maken. Een combinatie met aanvullende gegevens zal dus nooit tot de heridentificatie van de natuurlijke persoon mogen leiden. Uit onderzoek is gebleken dat een heleboel in theorie ‘anonieme’ gegevens dat in werkelijkheid niet zijn. Al in 2012 bleek uit een studie van het MIT dat het in 95 % van de gevallen volstond om iemand zijn positie op vier momenten in een periode van een jaar te bepalen om het traject van die persoon in dat van een miljoen anderen te herkennen. Ons gedrag is heel uniek en een kleine fractie van onze gegevens volstaan reeds om ons opnieuw te identificeren.

Wat dan met gepseudonimiseerde en geëncrypteerde gegevens zou je kunnen denken. Zouden deze kunnen doorgaan voor anonieme gegevens? De gepseudonimiseerde236 _{gegevens zijn gegevens} waarvan wordt verondersteld dat ze op een zodanige manier bewerkt en verwerkt zijn waardoor het niet langer mogelijk is om ze aan een specifieke betrokkene te koppelen zonder dat er aanvullende gegevens worden gebruikt. Het feit dat ze opnieuw tot de identificatie van een natuurlijke persoon kunnen leiden in combinatie met aanvullende gegevens brengt met zich mee dat het toch nog persoonsgegevens zijn. De geëncrypteerde237 _{gegevens kunnen door middel van een encryptiesleutel} gedecrypteerd worden en opnieuw een natuurlijke persoon direct of indirect identificeren ook deze gegevens zijn persoonsgegevens en genieten de bescherming van de Verordening. In de rechtsleer stelt men dat het niet gemakkelijk zal zijn om een nieuwe technologie zoals the Blockchain in te passen

236 _{I. DE POORTER, “De “GDPR” of Algemene Verordening Gegevensbescherming” in P. BERGER, C. BIQUET-}

MATHIEU, D. BLOMMART, F. BOGAERT, J. BOGAERTS, E. CALLENS, I. DE POORTER, V. DE SCHRYVER, C. FABRI, M. FYON, D. GOENS, L. LEGEIN, S. LIEBAERT, I. PEETERS, M. RAES, F. RAVELINGIEN, J. RICHELLE, L. SAVONET, R. STEENNOT, W. VAN DE WIELE, J. VANDENDRIESSCHE en J. VANNEROM, (eds.), Financiële regulering: een dwarsdoorsnede, Mortsel, Intersentia, 2019, (449) 458.

76 in het regelgevend kader van de Verordening. Aangezien men op een gepseudonimiseerde wijze gegevens in een Blockchain opslaat, zullen de principes en de verplichtingen van de Verordening ook daarvoor gelden.238 _{Ook zijn het niet steeds gewone persoonsgegevens die worden verwerkt. In een}

permissioned blockchain worden de deelnemers gevraagd om zich te identificeren en authenticeren

om toegang te kunnen krijgen tot de applicatie. Hun rechten worden bepaald door deze identificatie- en authenticatieprocedure. Dit kan aan de hand van eenvoudige contractgegevens maar ook via een nationaal nummer of biometrische gegevens zoals een vinger- of irisscan.239