PII, oftewel persoonsidentificeerbare informatie, is elk gegeven dat herleidbaar is tot een specifieke persoon. Een naam, een e-mailadres, een telefoonnummer, een bankrekening, een paspoortnummer: elk daarvan wijst naar een echt mens, en precies dat maakt het gevoelig en het beschermen waard.

Zie het als een legpuzzel. Eén stukje, zeg een postcode, zegt op zichzelf weinig. Maar klik een paar stukjes aan elkaar, postcode plus geboortedatum plus initialen, en ineens verschijnt het beeld van één specifiek persoon. Daarom kijken privacyregels niet alleen naar voor de hand liggende identifiers, maar ook naar combinaties van gegevens. Onder de AVG kan verkeerd omgaan met dit soort data flinke boetes opleveren, dus het staat centraal in bijna al het compliancewerk.

Sommige PII weegt zwaarder. Gezondheidsgegevens, geloof en biometrische data zoals een vingerafdruk of gezichtsscan vallen in een bijzondere categorie die de wet veel strenger behandelt, met scherpere regels over wanneer je ze überhaupt mag bewaren en wie ze ooit mag zien. Die indeling vroeg in een bouwtraject verkeerd inschatten is een veelgemaakte en dure fout, want de maatregelen die je er achteraf op plakt passen zelden zo netjes als de maatregelen die je vanaf het begin meeneemt.

De standaardmaatregelen zijn: zo weinig mogelijk PII bewaren, het versleutelen en regelen wie erbij kan. Waar je de echte identiteit niet nodig hebt, verklein je het risico met pseudonimiseren: directe identifiers vervang je door codes, zodat een lek veel minder prijsgeeft.

Bij TopDevs brengen we precies in kaart welke PII een systeem raakt voordat we een regel code schrijven, en ontwerpen we opslag en toegang rond het zo klein houden van die voetafdruk als de wet en het bedrijf toelaten.