Met ingang van 25 mei is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Met de inwerkingtreding van de AVG wordt de bescherming van persoonsgegevens steeds belangrijker. Ondernemingen krijgen te maken met meer en strengere regels met betrekking tot data protectie. De inwerkingtreding van de AVG heeft echter ook tot gevolg dat er verschillende vragen naar boven komen. Voor ondernemingen kan het onduidelijk zijn welke gegevens precies als persoonsgegevens beschouwd worden en dus onder de reikwijdte van de AVG vallen. Dit is het geval bij e-mailadressen: wordt een e-mailadres beschouwd als een persoonsgegeven? Zijn de bepalingen van de AVG van toepassing op ondernemingen die e-mailadressen gebruiken? Deze vragen worden in dit artikel beantwoord.
Persoonsgegevens
Om een antwoord te kunnen geven op de vraag of een e-mailadres een persoonsgegeven is, moet de term persoonsgegeven nader gedefinieerd worden. Deze term wordt uitgelegd in de AVG. Op grond van artikel 4 sub a AVG is een persoonsgegeven alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Een identificeerbare persoon is een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens of een online identificator. Persoonsgegevens hebben betrekking op natuurlijke personen. Dit betekent dat gegevens met betrekking tot overleden personen of rechtspersonen niet als persoonsgegevens aangemerkt worden.
E-mailadressen
Nu de definitie van persoonsgegevens duidelijk is, moet beoordeeld worden of een e-mailadres beschouwd wordt als een persoonsgegeven. Nederlandse jurisprudentie toont aan dat een e-mailadres mogelijk een persoonsgegeven kan zijn, maar dat dit niet altijd het geval is. Dit is afhankelijk van de vraag of een natuurlijke persoon geïdentificeerd of identificeerbaar is op basis van het e-mailadres.[1] Er moet rekening gehouden worden met de wijze waarop personen hun e-mailadres vorm gegeven hebben om te kunnen bepalen of een e-mailadres beschouwd kan worden als een persoonsgegeven of niet. Veel natuurlijke personen geven hun e-mailadres vorm op een manier dat het e-mailadres beschouwd moet worden als een persoonsgegeven. Dat is bijvoorbeeld het geval wanneer een e-mailadres op de volgende manier ingericht is: voornaam.achternaam@gmail.com. Dit e-mailadres openbaart de voor- en achternaam van de natuurlijke persoon die het adres gebruikt. Deze persoon kan dus geïdentificeerd worden aan de hand van dit e-mailadres. E-mailadressen die voor zakelijke doeleinden gebruikt worden, kunnen ook persoonsgegevens bevatten. Dit is het geval wanneer een e-mailadres op de volgende manier is vormgegeven: initialen.achternaam@naamvanbedrijf.com. Op basis van dit e-mailadres kan achterhaald worden wat de initialen van de gebruiker zijn, wat zijn achternaam is en waar deze persoon werkt. De persoon die dit e-mailadres gebruikt is dus identificeerbaar op grond van dit e-mailadres.
Een e-mailadres wordt niet beschouwd als een persoonsgegeven wanneer aan de hand van het e-mailadres geen natuurlijke personen geïdentificeerd kunnen worden. Dit is bijvoorbeeld het geval wanneer het volgende e-mailadres gebruikt wordt: puppy12@hotmail.com. Dit e-mailadres bevat geen gegevens aan de hand waarvan een natuurlijke persoon geïdentificeerd kan worden. Algemene e-mailadressen die door bedrijven gebruikt worden, zoals info@naamvanbedrijf.com, worden ook niet beschouwd als persoonsgegevens. Dit e-mailadres bevat geen persoonlijke informatie op grond waarvan een natuurlijke persoon geïdentificeerd kan worden. Bovendien wordt dit e-mailadres niet gebruikt door een natuurlijke persoon, maar door een rechtspersoon. Daarom wordt dit adres niet beschouwd als een persoonsgegeven. Uit Nederlandse jurisprudentie kan dus geconcludeerd worden dat e-mailadressen persoonsgegevens kunnen zijn, maar dat dit niet altijd het geval is; dit is afhankelijk van de manier waarop een e-mailadres vormgegeven is.
Er is een grote kans dat natuurlijke personen geïdentificeerd kunnen worden op basis van het e-mailadres dat zij gebruiken, waardoor dit e-mailadres beschouwd wordt als een persoonsgegeven. Bij het classificeren van e-mailadressen als persoonsgegevens maakt het niet uit of de onderneming de e-mailadressen daadwerkelijk gebruikt om natuurlijke personen te identificeren. Zelfs wanneer een onderneming de e-mailadressen niet gebruikt met het doel om natuurlijke personen te identificeren, dan nog worden e-mailadressen aan de hand waarvan natuurlijke personen geïdentificeerd kunnen worden beschouwd als persoonsgegevens. Niet elk technisch of toevallig verband tussen een gegeven en een persoon is voldoende om dat gegeven als persoonsgegeven aan te merken. Wanneer echter de mogelijkheid bestaat dat een e-mailadres gebruikt kan worden om een persoon te identificeren, bijvoorbeeld om fraude op te sporen, dan wordt het e-mailadres beschouwd als een persoonsgegeven. Het maakt hierbij niet uit of de onderneming de bedoeling heeft om het e-mailadres voor dit doel te gebruiken. Er is sprake van een persoonsgegeven wanneer de mogelijkheid bestaat dat het gegeven gebruikt kan worden voor een dergelijk op de persoon gericht doel.[2]
Het privacyrecht van Law & More
AVG Met de invoering van de AVG zijn de wetten aangescherpt. Is uw onderneming daarop voorbereid? |
Functionaris voor Gegevensbescherming Wij helpen u met het aanstellen van een Functionaris voor Gegevensbescherming |
Data Protection Impact Assessment Wij kunnen een analyse doen om de risico ‘s van uw gegevensverwerking in kaart te brengen |
Verwerking van data Welke data verwerkt uw bedrijf? Voldoet deze verwerking aan de AVG? Wij staan u bij |
Bijzondere persoonsgegevens
Hoewel e-mailadressen in de meeste gevallen als persoonsgegevens beschouwd worden, is er geen sprake van bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens omtrent ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of lidmaatschap van een vakbond en genetische en biometrische gegevens. Dit vloeit voort uit artikel 9 AVG. Ook bevat een e-mailadres minder publieke informatie dan bijvoorbeeld een woonadres. Een e-mailadres is minder makkelijk te achterhalen dan een woonadres en het is voor een groot deel afhankelijk van de gebruiker van het e-mailadres of het adres openbaar gemaakt wordt. Verder heeft ontdekking van een e-mailadres dat verborgen had moeten blijven minder grote gevolgen dan ontdekking van een woonadres dat verborgen had moeten blijven. Het is namelijk gemakkelijker om een e-mailadres te veranderen dan een woonadres en bekendmaking van een e-mailadres kan leiden tot digitaal contact, terwijl bekendmaking van een woonadres kan leiden tot persoonlijk contact.[3]
Verwerking van persoonsgegevens
We hebben vastgesteld dat e-mailadressen in de meeste gevallen beschouwd worden als persoonsgegevens. De AVG is echter alleen van toepassing op ondernemingen die persoonsgegevens verwerken. Onder het verwerken van persoonsgegevens wordt elke handeling met betrekking tot persoonsgegevens bedoeld. Dit wordt nader uitgelegd in de AVG. Op grond van artikel 4 lid 2 AVG is verwerking van persoonsgegevens elke bewerking met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures. Voorbeelden zijn het verzamelen, vastleggen, ordenen, structureren, opslaan of gebruiken van persoonsgegevens. Wanneer ondernemingen voornoemde handelingen uitvoeren met betrekking tot e-mailadressen, dan is er sprake van verwerking van persoonsgegevens. In dat geval valt de onderneming onder de reikwijdte van de AVG.
Conclusie
Niet elk e-mailadres wordt beschouwd als een persoonsgegeven. E-mailadressen worden echter wel beschouwd als persoonsgegevens wanneer deze identificeerbare informatie omtrent natuurlijke personen bevatten. Veel e-mailadressen zijn op zo’n manier vormgegeven, dat de persoon die het e-mailadres gebruikt geïdentificeerd kan worden. Dit is het geval wanneer een e-mailadres de naam of werkplaats van een natuurlijke persoon bevat. Om deze reden zal een groot deel van de e-mailadressen als persoonsgegevens beschouwd worden. Het is moeilijk voor ondernemingen om een onderscheid te maken tussen e-mailadressen die beschouwd worden als persoonsgegevens en e-mailadressen die niet zo beschouwd worden, aangezien dit helemaal afhankelijk is van de manier waarop het e-mailadres vormgegeven is. Het is dan ook aannemelijk dat ondernemingen die e-mailadressen verwerken, e-mailadressen tegenkomen die als persoonsgegevens beschouwd moeten worden. Dit betekent dat deze ondernemingen onder de reikwijdte van de AVG vallen en dat zij een privacybeleid op moeten stellen dat in overeenstemming met de AVG is.
[1] ECLI:NL:GHAMS:2002:AE5514.
[2] Kamerstukken II 1979/80, 25 892 3 (MvT).
[3] ECLI:NL:GHAMS:2002:AE5514.