persoonlijk identificeerbare informatie (PII) en persoonlijke gegevens zijn twee classificaties van gegevens die vaak verwarring veroorzaken bij organisaties die dergelijke gegevens verzamelen, opslaan en analyseren.
PII wordt gebruikt in de VS, maar geen enkel juridisch document definieert het. Het rechtssysteem in de Verenigde Staten is een mix van tal van federale en staat wetten en sector-specifieke regelgeving. Ze definiëren en classificeren allemaal verschillende stukjes informatie onder de PII-paraplu.,
aan de andere kant hebben persoonsgegevens één juridische betekenis, die wordt gedefinieerd door de Algemene Verordening Gegevensbescherming (AVG), die in de hele Europese Unie (EU) als wet wordt aanvaard.
beide termen hebben betrekking op een gemeenschappelijke basis, waarbij informatie wordt geclassificeerd die de identiteit van een individu direct of indirect kan onthullen.
maar waarom is dat allemaal zo belangrijk? Als websitebeheerder, app-maker of producteigenaar moet u zich ervan bewust zijn dat de sporen die bezoekers en gebruikers achterlaten gevoelig kunnen zijn., Deze sporen kunnen u in staat stellen om personen te identificeren, dus je nodig hebt om dergelijke gegevens te behandelen met de grootst mogelijke voorzichtigheid. Vanuit juridisch oogpunt zou het een kwestie van inbreuken en schendingen met ernstige gevolgen kunnen zijn. Het begrijpen van het grotere plaatje is cruciaal voor de beveiliging en naleving van de wet.
- Wat is persoonlijk identificeerbare informatie (PII)?
- welke informatie wordt als PII beschouwd?
- Wat is niet-PII?
- Wat zijn persoonsgegevens?
- Wat zijn niet-persoonlijke gegevens?,
- Hoe verschilt PII van persoonsgegevens
- juridisch kader
- waar de regels inzake PII en persoonsgegevens van toepassing zijn
- up-to-date blijven over de regelgeving inzake gegevensbescherming
Wat is persoonlijk identificeerbare informatie (PII)?
PII wordt vaak genoemd door Amerikaanse overheidsinstanties en niet-gouvernementele organisaties. Toch mist de VS een dwingende wet over PII, dus uw begrip van PII kan verschillen, afhankelijk van uw specifieke situatie.
de meest voorkomende definitie wordt gegeven door het National Institute of Standards and Technology (NIST).,
er staat dat:
PII alle informatie over een individu is die door een agentschap wordt bijgehouden, met inbegrip van (1) Alle informatie die kan worden gebruikt om de identiteit van een individu te onderscheiden of te traceren, zoals naam, burgerservicenummer, geboortedatum en-plaats, meisjesnaam van de moeder, of biometrische gegevens; en (2) alle andere informatie die aan een individu is gekoppeld of kan worden gekoppeld, zoals medische, educatieve, financiële en arbeidsinformatie.
De lijn tussen PII en andere soorten informatie is echter wazig., Zoals de Amerikaanse General Services Administration benadrukt, is de definitie van PII niet verankerd in één enkele Categorie informatie of technologie. Het vereist veeleer een beoordeling per geval van het specifieke risico dat een individu kan worden geïdentificeerd”.
welke informatie wordt als PII beschouwd?
volgens NIST kan PII worden onderverdeeld in twee categorieën: gekoppelde en koppelbare informatie.
gelinkte informatie is directer., Het kan alle persoonlijke gegevens bevatten die kunnen worden gebruikt om een persoon te identificeren, bijvoorbeeld:
- volledige naam
- thuisadres
- e-mailadres
- burgerservicenummer
- paspoortnummer
- rijbewijs
- creditcardnummers
- geboortedatum
- telefoonnummer
- eigendomseigenschappen bijv., vehicle identification number (VIN)
- Login details
- processor of apparaat serienummer *
- Media access control (MAC) *
- Internet Protocol (IP) adres*
- apparaat-ID ‘ s*
- Cookies *
* van note!
NIST stelt dat gekoppelde informatie “Asset informatie, zoals Internet Protocol (IP) of Media Access Control (MAC) adres of andere host-specifieke persistent static identifier die consequent linkt naar een bepaalde persoon of kleine, goed gedefinieerde groep mensen “kan zijn., Dat betekent dat cookies en apparaat-ID vallen onder de definitie van PII.
koppelbare informatie is indirect en kan op zichzelf niet in staat zijn een persoon te identificeren, maar in combinatie met een ander stuk informatie kan een persoon worden geïdentificeerd, getraceerd of gelokaliseerd.
Hier zijn enkele voorbeelden van koppelbare informatie:
- Voor – Of achternaam (indien vaak voorkomend)
- land, staat, Stad, Postcode
- geslacht
- ras
- niet-specifieke leeftijd (bijv., 30-40 in plaats van 30)
- functiepositie en werkplek
leren hoe PII, niet-PII en persoonlijke gegevens te beschermen
alles van de gedetailleerde definitie van elk tot praktische benaderingen voor het verzamelen en werken met verschillende soorten gegevens
Wat is niet-PII?
niet-persoonlijk identificeerbare informatie (niet-PII) is gegevens die niet op zichzelf kunnen worden gebruikt om een persoon te traceren of te identificeren.,Voorbeelden van niet-PII omvatten, maar zijn niet beperkt tot:
- geaggregeerde statistieken over het gebruik van product / dienst
- gedeeltelijk of volledig gemaskeerd IP-adressen
De Classificatie van PII en niet-PII is echter vaag. Bovendien verwijst NIST niet naar cookie-ID ’s en apparaat-ID’ s, dus veel ADTECH-bedrijven, adverteerders en uitgevers beschouwen ze als niet-PII. Zoals we zullen zien, dit in tegenstelling tot de definitie van persoonlijke gegevens, die dergelijke digitale tackers behandelt als informatie die een individu kan identificeren.
wat zijn persoonsgegevens?,p> “persoonsgegevens”: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna “betrokkene” te noemen; als identificeerbaar natuurlijk persoon is iemand die kan worden geïdentificeerd direct of indirect, met name door verwijzing naar een identificatienummer zoals een naam, een identificatienummer, gegevens over de ligging van, een online-id of één of meer specifieke elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van de natuurlijke persoon;
Deze definitie geldt niet alleen voor de naam van een persoon en achternaam, maar de details die kon die persoon herkennen., Dat is bijvoorbeeld het geval wanneer u een bezoeker die terugkeert naar uw website kunt identificeren met behulp van een cookie of login-informatie.
onder de GDPR kunt u cookies als persoonsgegevens beschouwen omdat volgens
overweging 30:
natuurlijke personen kunnen worden geassocieerd met online-identificatiemiddelen die worden verstrekt door hun apparaten, toepassingen, tools en protocollen, zoals internetprotocoladressen, cookie-identificatiemiddelen of andere identificatiemiddelen zoals radiofrequentie-identificatietags., Dit kan sporen achterlaten die, met name in combinatie met unieke identificatiemiddelen en andere door de servers ontvangen informatie, kunnen worden gebruikt om profielen van de natuurlijke personen aan te maken en hen te identificeren.
en de definitie van persoonsgegevens omvat verschillende informatiestukken, zoals:
- transactiegeschiedenis
- IP-adressen
- browsergeschiedenis
- berichten op sociale media
in principe is het alle informatie die direct of indirect betrekking heeft op een individu of identificeerbare persoon.
Wat zijn niet-persoonlijke gegevens?,
volgens de AVG-bepalingen zijn niet-persoonlijke gegevens gegevens waarmee u geen persoon kunt identificeren. Het beste voorbeeld zijn anonieme gegevens. Volgens
overweging 26:
De beginselen van gegevensbescherming mogen daarom niet van toepassing zijn op anonieme informatie, namelijk informatie die geen betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die op zodanige wijze anoniem zijn gemaakt dat de betrokkene niet of niet langer identificeerbaar is.,
andere voorbeelden van niet-persoonlijke gegevens zijn onder meer, maar zijn niet beperkt tot:
- algemene gegevens, bijv. leeftijdscategorie, bijv.,geaggregeerde statistieken over het gebruik van een product of dienst
- gedeeltelijk of volledig gemaskeerd IP-adressen
voor meer informatie over de anonimisering van gegevens, lees onze andere blogberichten:
- the ultimate guide to data anonimization in analytics
- anonieme tracking: hoe doe je nuttige analyses zonder persoonlijke gegevens
/div>
hoe PII verschilt van persoonlijke gegevens
zoals we al hebben gezegd, lijken de verschillen tussen deze twee soorten gegevens in bepaalde contexten vrij vaag., Als we hier een duidelijke lijn moeten trekken, dan passen we het rechtskader toe en op wie deze gegevens van toepassing zijn.
wettelijk kader
alle regels en verantwoordelijkheden met betrekking tot persoonsgegevens zijn vastgelegd in de AVG, die tot doel heeft de gegevensverzameling van EU-ingezetenen te versterken en te uniformeren. Dit betekent ook dat er een meer uniforme aanpak van handhaving is, die gestaag toeneemt sinds mei 2018, toen de AVG in werking trad.
Het is veel moeilijker om één wet te definiëren die PII controleert omdat er geen enkele federale wet is die het gebruik ervan regelt. Echter, van de verschillende wetten die de verzameling en het gebruik van PII regelen, zijn de meest prominente:
- de VS.,l Trade Commission (FTC) en haar afdeling consumentenbescherming
- lokale afdelingen Consumentenzaken
- de Federal Communications Commission (FCC)
- Het National Institute of Standards and Technology (NIST)
- het Network Advertising Initiative (Nai), een zelfregulerende organisatie
waar regels inzake PII en persoonsgegevens van toepassing zijn
aangezien persoonsgegevens strikt verbonden zijn met de GDPR, betreft het alle ingezetenen en burgers van de lidstaten van de Europese Economische Ruimte-De 28 lidstaten van de EU Plus IJsland, Liechtenstein en Noorwegen., We zullen deze groep kortweg EU-inwoners noemen.
toch is het toepassingsgebied van de AVG niet echt beperkt tot de EU. Het heeft niet alleen gevolgen voor in de EU gevestigde entiteiten, maar voor vrijwel alle bedrijven die de gegevens van EU-ingezetenen verwerken.
daarentegen is het veel moeilijker om de rechtsgebieden te bepalen waar PII van toepassing is.
zelfs in de VS, waar PII zeker van toepassing is, verschilt de manier waarop het wordt toegepast zowel van staat tot staat als van sector tot sector. Verschillende juridische documenten en industriestandaarden hebben hun eigen mening over wat PII is.,
daardoor is het moeilijk te bepalen op wie PII van toepassing is en hoe.
Leren hoe te beschermen PI, non-PII en persoonlijke gegevens
Alles van de gedetailleerde definitie van elk praktische benaderingen voor het verzamelen en het werken met verschillende soorten data
de hoogte te Blijven van data privacy reglement
De brede definities van PI en persoonlijke gegevens evolueren naar meer en meer soorten gegevens., De verschillen tussen de twee worden ook steeds minder duidelijk. Aan beide zijden van de Atlantische Oceaan worden de wettelijke eisen strenger.
deze veranderingen brengen nieuwe uitdagingen met zich mee. Voor organisaties van alle soorten betekent dit dat ze beter moeten kijken naar de gegevens die ze verzamelen en het veranderende juridische landschap moeten bijhouden om compliant te blijven.
We hopen dat onze blogpost op zijn minst een aantal van uw vragen over PII en persoonlijke gegevens heeft beantwoord. Maar als u meer wilt weten, aarzel dan niet om ons op elk gewenst moment te contacteren. Onze experts informeren u graag!