De Amerikaanse regering gebruikte de term “persoonlijk identificeerbaar” in 2007 in een memorandum van de Executive Office of the President, Office of Management and Budget (OMB), en dat gebruik komt nu voor in Amerikaanse normen zoals de NIST Guide to Protecting the Confidentiality of Personally Identificable Information (SP 800-122). Het OMB-memorandum definieert PII als volgt:

informatie die kan worden gebruikt om de identiteit van een persoon te onderscheiden of te traceren, zoals hun naam, sofinummer, biometrische gegevens, enz., alleen of in combinatie met andere persoonlijke of identificeerbare informatie die aan een bepaalde persoon is gekoppeld of kan worden gekoppeld, zoals geboortedatum en-plaats, meisjesnaam van de moeder, enz.,p>artikel 2 bis:”persoonsgegevens”: alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”); een identificeerbaar persoon is een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer factoren die specifiek zijn voor zijn fysieke, fysiologische, mentale, economische, culturele of sociale identiteit;

in de EU—regels is echter een duidelijker idee dat de betrokkene mogelijk kan worden geïdentificeerd door aanvullende verwerking van andere attributen – quasi-of pseudo-identifiers.,”persoonsgegevens” worden gedefinieerd in een sectie van de California data breach notification law, SB1386:

e) voor de toepassing van deze sectie wordt onder “persoonsgegevens” verstaan de voornaam of de eerste voor-en achternaam van een persoon in combinatie met een of meer van de volgende elementen: gegevenselementen, wanneer de naam of de gegevenselementen niet zijn gecodeerd: (1) burgerservicenummer., (2) rijbewijsnummer of Californische Identificatiekaartnummer. (3) rekeningnummer, credit-of debetkaartnummer, in combinatie met de vereiste beveiligingscode, toegangscode of wachtwoord die toegang tot de financiële rekening van een persoon mogelijk zou maken. (f) voor de doeleinden van deze sectie omvat “persoonlijke informatie” niet openbaar beschikbare informatie die rechtmatig beschikbaar is gesteld aan het grote publiek uit federale, staats-of lokale overheid records.,

het begrip informatiecombinatie in de sb1386-definitie is essentieel om PII, zoals gedefinieerd door OMB, correct te onderscheiden van” persoonlijke informatie”, zoals gedefinieerd door SB1386. Informatie, zoals een naam, die context mist, kan niet worden gezegd dat het sb1386 “persoonlijke informatie” is, maar het moet worden gezegd dat het PII is zoals gedefinieerd door OMB. Bijvoorbeeld, de naam John Smith heeft geen betekenis in de huidige context en is daarom niet SB1386 “persoonlijke informatie”, maar het is PII., Een burgerservicenummer (SSN) zonder naam of enige andere bijbehorende identiteit of context informatie is niet sb1386 “persoonlijke informatie”, maar het is PII. Bijvoorbeeld, de SSN 078-05-1120 op zichzelf is PII, maar het is niet SB1386 “persoonlijke informatie”. De combinatie van een geldige naam met de juiste SSN is echter SB1386 “persoonlijke informatie”.

De combinatie van een naam met een context kan ook als PII worden beschouwd; bijvoorbeeld als de naam van een persoon op een lijst van patiënten voor een HIV-kliniek staat. Het is echter niet nodig dat de naam wordt gecombineerd met een context om PII te zijn., De reden voor dit onderscheid is dat stukjes informatie zoals namen, hoewel ze op zichzelf misschien niet voldoende zijn om een identificatie te maken, later kunnen worden gecombineerd met andere informatie om personen te identificeren en hen bloot te stellen aan schade.

volgens de OMB is het niet altijd het geval dat PII “gevoelig” is, en kan met context rekening worden gehouden bij de beslissing of bepaalde PII al dan niet gevoelig is.,

AustraliaEdit

in Australië heeft de Privacywet van 1988 betrekking op de bescherming van de persoonlijke levenssfeer, waarbij gebruik wordt gemaakt van de privacybeginselen van de OESO uit de jaren tachtig om een breed, op beginselen gebaseerd regelgevend model op te zetten (in tegenstelling tot de VS, waar de dekking over het algemeen niet gebaseerd is op algemene beginselen, maar op specifieke technologieën, bedrijfspraktijken of gegevensposten). Afdeling 6 heeft de relevante definitie., De kritische kanttekening is dat de definitie van”persoonsgegevens”ook van toepassing is wanneer de persoon indirect kan worden geïdentificeerd:

“persoonsgegevens” betekent informatie of een mening over een geïdentificeerde persoon, of een persoon die redelijkerwijs kan worden geïdentificeerd of de informatie of mening waar is of niet; en of de informatie of mening al dan niet in materiële vorm is vastgelegd.,

Dit roept de vraag op van redelijkheid: stel dat het theoretisch mogelijk is om een persoon te identificeren aan de hand van informatie die geen naam of adres bevat, maar wel aanwijzingen bevat die kunnen worden gevolgd om uit te vinden op wie het betrekking heeft. Hoeveel extra moeite kost het om het onredelijk te maken dat dergelijke informatie kan worden geïdentificeerd?, Bijvoorbeeld, als de informatie een IP-adres betreft en de relevante ISP logs opslaat die gemakkelijk kunnen worden geïnspecteerd (als u voldoende wettelijke rechtvaardiging had) om het IP-adres opnieuw te koppelen aan de rekeninghouder, kan hun identiteit dan “redelijk worden vastgesteld”? Als een dergelijke koppeling vroeger duur, langzaam en moeilijk was, maar gemakkelijker werd, verandert dit dan het antwoord op een gegeven moment?,

het lijkt erop dat deze definitie aanzienlijk breder is dan het Californische voorbeeld hierboven, en dus dat de Australische privacywetgeving, hoewel in sommige opzichten zwak gehandhaafd, een bredere categorie gegevens en informatie kan omvatten dan in sommige Amerikaanse wetgeving.,

in het bijzonder kunnen online advertentiebedrijven die in de VS zijn gevestigd, maar heimelijk informatie verzamelen van mensen in andere landen in de vorm van cookies, bugs, trackers en dergelijke, vinden dat hun voorkeur om de implicaties te vermijden van het willen bouwen van een psychografisch profiel van een bepaalde persoon met behulp van de rubriek ‘we verzamelen geen persoonlijke informatie’ kan vinden dat dit niet zinvol is onder een bredere definitie zoals die in de Australian Privacy Act.

merk op dat de term “PII” niet wordt gebruikt in de Australische privacywetgeving.,n van de Privacy Act en vergelijkbare Provinciale wetgeving regelt de Provinciale Overheid

  • Personal Information Protection and Electronic Documents Act regelt privé-ondernemingen, tenzij er sprake is van een gelijkwaardige Provinciale wetgeving
  • Ontario Persoonlijke Informatie Gezondheid over de Wet Bescherming persoonsgegevens en andere soortgelijke Provinciale wetgeving is bepalend voor de gezondheid van informatie

    • Europese UnionEdit

    de Europese wet op databescherming geen gebruik maken van het concept van persoonlijk identificeerbare informatie en zijn werkingssfeer valt, wordt in plaats bepaald door niet-synoniemen, bredere concept van “persoonlijke gegevens”.,

    • artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens
    • de in April 2016 vastgestelde Algemene Verordening Gegevensbescherming. Met ingang van 25 mei 2018 vervangt
      • de Gegevensbeschermingsrichtlijn-95/46/EG
    • Richtlijn 2002/58/EG (de e-Privacy-richtlijn)
    • Richtlijn 2006/24/EG Artikel 5 (De gegevensbewaring-Richtlijn)

    verdere voorbeelden zijn te vinden op de privacywebsite van de EU.,fictie Verordening (Europa, 2016)

  • Artikel 8 van het Europees Verdrag voor de Rechten van de Mens
  • Het verenigd koninkrijk Verordening van onderzoeksbevoegdheden Act 2000
  • Werkgevers Data Protection Code van de Praktijk
  • Model Contracten voor Data Export
  • De Privacy and Electronic Communications (EC directive) Regulations 2003
  • Het verenigd koninkrijk Interceptie van Communicatie (Legale Zakelijke Praktijk) Reglement 2000
  • De BRITSE Anti-Terrorism, Crime and Security Act 2001

    • Nieuwe ZealandEdit

    De twaalf Privacy Beginselen van de Privacy Act 1993 van toepassing.,de federale wet inzake Gegevensbescherming van 19 juni 1992 (van kracht sinds 1993) heeft een bescherming van de persoonlijke levenssfeer ingevoerd door vrijwel elke verwerking van persoonsgegevens die niet uitdrukkelijk door de betrokkenen is toegestaan, te verbieden. De bescherming is onderworpen aan het gezag van de federale Data Protection and Information Commissioner.

    bovendien kan elke persoon een bedrijf (dat gegevensbestanden beheert) schriftelijk verzoeken om correctie of verwijdering van persoonlijke gegevens. Het bedrijf moet binnen dertig dagen reageren.,

    Verenigde Statendit

    De Privacy Act van 1974 (Pub.L. 93-579, 88 Stat. 1896, vastgesteld op 31 December 1974, 5 U. S. C. § 552a), een federale wet van de Verenigde Staten, stelt een Code van eerlijke informatie praktijk die de verzameling, het onderhoud, het gebruik en de verspreiding van persoonlijk identificeerbare informatie over personen die wordt onderhouden in systemen van records door federale agentschappen regelt.

    een van de belangrijkste aandachtspunten van de Health Insurance Portability and Accountability Act (HIPAA) is het beschermen van de beschermde gezondheidsinformatie van een patiënt, die vergelijkbaar is met PII. VS., De Senaat stelde de Privacywet van 2005 voor, die probeerde de weergave, aankoop of verkoop van PII strikt te beperken zonder de toestemming van de persoon. Evenzo, de (voorgestelde) Anti-Phishing Act van 2005 geprobeerd om het verwerven van PII te voorkomen door middel van phishing.

    Amerikaanse wetgevers hebben speciale aandacht besteed aan het sofinummer omdat het gemakkelijk kan worden gebruikt om identiteitsdiefstal te plegen. De (voorgestelde) Social Security Number Protection Act van 2005 en (voorgestelde) Identity Theft Prevention Act van 2005 elk geprobeerd om de verdeling van een individu ‘ s sofinummer te beperken.,

    aanvullende Amerikaanse specifieke persoonlijk identificeerbare informatie omvat, maar is niet beperkt tot, I-94 Records, Medicaid ID-nummers, Internal Revenue Services (I. R. S.) documentatie. Exclusiviteit van persoonlijk identificeerbare informatie gelieerd aan de VS benadrukt nationale gegevensbeveiliging zorgen en de invloed van persoonlijk identificeerbare informatie in Amerikaanse federale data management systemen.,

    nist definitionEdit

    Het National Institute of Standards and Technology (NIST) is een laboratorium voor Natuurwetenschappen en een niet-regulerend Agentschap van het Amerikaanse Ministerie van Handel. De volgende gegevens, die vaak worden gebruikt om een individuele identiteit te onderscheiden, worden duidelijk geclassificeerd als persoonlijk identificeerbare informatie volgens de definitie die wordt gebruikt door de NIST (hieronder in detail beschreven):

    • nationaal identificatienummer (bv. sofinummer in de VS) ,)
    • bankrekeningnummers
    • paspoortnummer
    • rijbewijsnummer
    • debet – /Creditkaartnummers

    het volgende wordt minder vaak gebruikt om individuele identiteit te onderscheiden, omdat het kenmerken zijn die door veel mensen worden gedeeld. Echter, ze zijn potentieel PII, omdat ze kunnen worden gecombineerd met andere persoonlijke informatie om een individu te identificeren.,

    • volledige naam
    • thuisadres
    • stad
    • State
    • Postcode
    • Land
    • telefoon
    • leeftijd, geboortedatum, vooral als niet-specifiek
    • geslacht of ras
    • webcookie

    wanneer een persoon anoniem wil blijven, zullen beschrijvingen van hen vaak worden gebruikt een aantal van de bovenstaande, zoals “een 34-jarige blanke man die werkt bij Target”. Merk op dat informatie nog steeds privé kan zijn, in de zin dat een persoon niet wenst dat het publiekelijk bekend wordt, zonder persoonlijk identificeerbaar te zijn., Bovendien kunnen soms meerdere stukken informatie, die op zichzelf niet voldoende zijn om een individu uniek te identificeren, een persoon uniek identificeren wanneer ze gecombineerd worden; dit is een van de redenen dat meerdere stukken bewijs gewoonlijk worden gepresenteerd tijdens strafprocessen. Er is aangetoond dat in 1990 87% van de bevolking van de Verenigde Staten uniek kan worden geïdentificeerd door geslacht, postcode en volledige geboortedatum.

    in hacker-en internettaal wordt de praktijk van het vinden en vrijgeven van dergelijke informatie “doxing”genoemd. Het wordt soms gebruikt om samenwerking met rechtshandhaving af te schrikken., Bij gelegenheid, de doxing kan leiden tot een arrestatie, vooral als wetshandhavingsinstanties vermoeden dat de” doxed ” individu in paniek kan raken en verdwijnen.

    staatswetten en belangrijke gerechtelijke uitspraken edit

    • California
      • De Grondwet van Californië verklaart privacy een onvervreemdbaar recht in artikel 1, Sectie 1.,
      • California Online Privacy Protection Act (OPPA) van 2003
      • SB 1386 vereist dat organisaties personen informeren wanneer PII (in combinatie met een of meer aanvullende, specifieke gegevenselementen) bekend is of verondersteld wordt te zijn verkregen door een onbevoegde persoon.in 2011 oordeelde het Hooggerechtshof van Californië dat de postcode van een persoon PII is.
    • Nevada
      • Nevada Herziene statuten 603A-beveiliging van persoonsgegevens
    • Massachusetts
      • 201 CMR 17.,00: Standards for the Protection of Personal Information of Residents of the Commonwealth
      • in 2013 oordeelde het Hooggerechtshof van Massachusetts dat postcodes PII zijn.

    Federal lawEdit

    • Titel 18 van de United States Code, section 1028d (7)
    • De Privacy Act van 1974, gecodificeerd op 5 U. S. C. § 552a E.V.
    • US” Privacy Shield ” Rules (EU Harmonisation)

    Geef een reactie

    Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *