Persoonlijk Identificeerbare Informatie
PII (Personally Identifiable Information) verwijst naar alle gegevens die kunnen worden gebruikt om een specifieke persoon direct of indirect te identificeren. Het omvat namen, adressen, burgerservicenummers, biometrische gegevens en elke combinatie van elementen die tot identificatie kan leiden.
Het concept PII vormt een hoeksteen van de gegevensbescherming wereldwijd. Het omvat twee categorieën: directe identificatoren (volledige naam, paspoortnummer, burgerservicenummer) waarmee een persoon op zichzelf kan worden geïdentificeerd, en indirecte identificatoren (geboortedatum, postcode, beroep) die in combinatie identificatie mogelijk maken. De Europese AVG hanteert het bredere begrip 'persoonsgegevens', dat PII omvat en zich verder uitstrekt tot online identificatoren en locatiegegevens.
In KYC- en complianceprocessen staan PII centraal bij elke identiteitsverificatie. Bedrijven verzamelen noodzakelijkerwijs PII — kopieën van identiteitsdocumenten, adresbewijzen, bankgegevens — om aan hun wettelijke verplichtingen te voldoen. Dit creëert een permanente spanning tussen de verificatieplicht en de beschermingsplicht: elk opgeslagen PII-element vormt een potentieel risico bij een datalek.
Internationale regelgeving (AVG in Europa, CCPA in Californië, LGPD in Brazilië) legt strikte verplichtingen op voor de verwerking van PII: gedocumenteerde rechtsgrondslag, beperkte bewaartermijnen, technische en organisatorische beveiligingsmaatregelen, en inzage- en verwijderingsrechten voor betrokkenen. Moderne verificatieoplossingen zoals CheckFile.ai minimaliseren PII-blootstelling door uitsluitend de noodzakelijke gegevensvelden te extraheren en documentkopieën niet langer dan het verificatieproces te bewaren.
Regelgeving
Praktijkvoorbeelden
- 1Een identiteitsverificatieprovider classificeert de uit een paspoort geëxtraheerde velden — naam, geboortedatum, documentnummer — als PII en past AES-256-versleuteling toe voor opslag, met automatische verwijdering na 90 dagen.
- 2Een Californisch fintechbedrijf ontvangt een CCPA-verzoek van een gebruiker die alle over hem opgeslagen PII wil inzien: het moet een volledig overzicht verstrekken, inclusief KYC-gegevens, inloggeschiedenis en verificatiemetadata.
- 3Een HR-afdeling automatiseert de anonimisering van PII van afgewezen sollicitanten zes maanden na sluiting van het wervingsproces, in overeenstemming met de aanbevelingen van de Autoriteit Persoonsgegevens over bewaring van sollicitatiegegevens.