Privacy

INLEIDING

Dit privacybeleid voor de PMV-groep werd door het groepsmanagementcomité van ParticipatieMaatschappij Vlaanderen nv (hierna ook “PMV” of “de vennootschap”) goedgekeurd op 22 mei 2018.

Dit privacybeleid werd opgesteld naar aanleiding van de inwerkingtreding van de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna ook “Algemene Verordening Gegevensbescherming” of “AVG”) en haar toepassing vanaf 25 mei 2018.

Het groepsmanagementcomité zal dit privacybeleid op regelmatige basis verder evalueren en waar nodig aanpassen aan de evoluties binnen PMV-groep, het beleid en de regelgeving.

Dit privacybeleid heeft als doel te beschrijven hoe persoonsgegevens in de PMV-groep worden verwerkt en geeft aan hoe de PMV-groep de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens ter harte neemt.

De volgende elementen komen aan bod:

  • Verwerking van persoonsgegevens
  • Verwerkers
  • Uitoefenen van de rechten van de betrokkene
  • Register van verwerkingsactiviteiten
  • Gegevenseffectenbeoordeling
  • Inbreuken in verband met persoonsgegevens

 

3.VERWERKING VAN PERSOONSGEGEVENS

3.1.Wettelijk kader

De verwerking van persoonsgegevens wordt geregeld door de Algemene Verordening Gegevensbescherming, die de wetgeving in de verschillende landen van de Europese Unie harmoniseert en ook in België vanaf 25 mei 2018 rechtstreeks van toepassing is.

De basisprincipes van dit privacybeleid zijn gebaseerd op de vereisten van de AVG.

Voor zover de AVG bepaalt dat de regels die zij bevat door lidstatelijk recht kunnen worden gespecificeerd of beperkt, kan de Belgische wetgever hieromtrent de nodige regelgeving uitwerken.

Indien blijkt dat toepasselijke wetgeving strenger is dan dit privacybeleid, zullen persoonsgegevens binnen de PMV-groep volgens deze strengere wetgeving verwerkt moeten worden.

3.2.Definities

De termen die in dit privacybeleid gebruikt worden, zullen de volgende betekenis hebben, zoals gedefinieerd in de AVG.

  • “betrokkene”: een geïdentificeerde of identificeerbare natuurlijke persoon;
  • “persoonsgegevens”: alle informatie over een betrokkene;
  • “verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
  • “beperken van de verwerking”: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;
  • “profilering”: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;
  • “pseudonimisering”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;
  • “bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;
  • “verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
  • “verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
  • “ontvanger”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn;
  • “derde”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;
  • “toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;
  • “inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
  • “genetische gegevens”: persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon;
  • “biometrische gegevens”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;
  • “gegevens over gezondheid”: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven;
  • “bijzondere categorieën van persoonsgegevens”: persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, of genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;
  • “toezichthoudende autoriteit”: onafhankelijke overheidsinstantie, in België de Gegevensbeschermingsautoriteit (hierna ook “GBA”), die toeziet op de naleving van de AVG.

3.3.Verantwoordelijkheden

PMV heeft verschillende dochtervennootschappen, dewelke samen met PMV de PMV- groep vormen.

De groepsvennootschappen onderschrijven de principes van de PMV-groep betreffende de verwerking van persoonsgegevens, zoals uiteengezet in dit privacybeleid dat van tijd tot tijd wordt geactualiseerd door PMV. De groepsvennootschappen verbinden zich er ook toe het nodige te zullen doen, zodat ook zij te allen tijde voldoen aan het van kracht zijnde privacybeleid.

Elke groepsvennootschap treedt op als verwerkingsverantwoordelijke voor de persoonsgegevens die onder haar verantwoordelijkheid verwerkt worden, is verantwoordelijk voor de naleving van dit privacybeleid, en kan dit in het kader van haar verantwoordingsplicht ook aantonen.

3.4.Toepassingsgebied

Dit privacybeleid is van toepassing op elke verwerking van persoonsgegevens binnen de PMV-groep.

Uit voorgaande definities blijkt dat “persoonsgegevens” en “verwerking” zeer ruime begrippen zijn, en dit privacybeleid is van toepassing op de verwerking van persoonsgegevens van een betrokkene van zodra deze “identificeerbaar” is. Als “identificeerbaar” wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

3.5.Principes

Naast de specifieke verplichtingen die op bepaalde verwerkingen van persoonsgegevens van toepassing kunnen zijn, dienen bij elke verwerking van persoonsgegevens binnen de PMV-groep in elk geval de volgende principes inzake verwerking van persoonsgegevens nageleefd te worden.

Persoonsgegevens moeten:

  • worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (“rechtmatigheid, behoorlijkheid en transparantie”);
  • voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt (“doelbinding”);
  • toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (“minimale gegevensverwerking”);
  • juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor

zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (“juistheid”)1;

  • worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is (“opslagbeperking”); en
  • door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (“integriteit en vertrouwelijkheid”).

Persoonsgegevens mogen niet buiten de Europese Unie verstuurd worden zonder hieromtrent de gepaste beschermingsmaatregelen te nemen, tenzij het land of de internationale organisatie in kwestie een passend beschermingsniveau waarborgt.

3.6.Rechtmatigheid verwerking

Het hierboven vermelde principe van rechtmatigheid houdt in dat een verwerking slechts rechtmatig is indien en voor zover aan ten minste één van de onderstaande voorwaarden is voldaan:

  • de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden;

  • de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  • de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  • de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  • de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen; of
  • de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is (geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken).

1 Dit is niet van toepassing op gegevens die juist waren op het moment van de verwerking (bv. adres- en kredietwaardigheidsgegevens van een persoon in een investeringsdossier) en die op die manier bewaard dienen te worden (bv. om een “audit trail” te hebben van alle elementen van het dossier waarover een bepaalde beslissing werd genomen), ook al zijn deze gegevens ondertussen gewijzigd (bv. nieuw adres of an dere kredietwaardigheidsscore). Het doel van de verwerking is hier immers de bewaring van een – op dat moment correcte – situatieschets en niet, bij wijze van voorbeeld, het contacteren van een persoon of het beoordelen van zijn kredietwaardigheid op basis van de bewaarde gegevens

 

Er mogen bijgevolg geen persoonsgegevens verwerkt worden indien deze verwerking niet gebaseerd kan worden op één van deze rechtvaardigheidsgronden.

De verwerking van persoonsgegevens die PMV-groep ontvangt in het kader van investeringsactiviteiten, bijvoorbeeld, zal in principe verantwoord worden op grond van de overweging dat de verwerking van deze persoonsgegevens noodzakelijk is om, op verzoek van de betrokkene, een analyse te kunnen maken van het investeringsdossier, een investeringsbeslissing te kunnen nemen, desgevallend een overeenkomst te onderhandelen en af te sluiten en om deze overeenkomst uit te voeren.

4.VERWERKERS

4.1.Aanstelling

Wanneer de PMV-groep beroep doet op andere partijen om namens haar als verwerker verwerkingsactiviteiten te verrichten, zal ze enkel verwerkers aanstellen die afdoende garanties bieden met betrekking tot het toepassen van passende technische en organisatorische maatregelen opdat de verwerking aan de vereisten van dit privacybeleid en de toepasselijke wetgeving voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.

Dit geldt bijvoorbeeld voor partijen van wie PMV-groep licenties aankoopt voor software of hardware systemen. Dit geldt bijvoorbeeld eveneens voor partijen die in opdracht van PMV-groep instaan voor de uitvoering van loonadministratie of andere opdrachten in verband met de administratieve verwerking van het personeelsbeleid.

4.2.Gegevensverwerkingsovereenkomst

Met elke verwerker zal een gegevensverwerkingsovereenkomst afgesloten worden die het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke vastlegt.

 

5.UITOEFENING VAN DE RECHTEN VAN DE BETROKKENE

5.1.Rechten

Elke betrokkene heeft het recht de verwerkingsverantwoordelijke te verzoeken om:

  • de hem betreffende persoonsgegevens in te zien
  • de hem betreffende persoonsgegevens te rectificeren of te wissen
  • het beperken van de verwerking van de hem betreffende persoonsgegevens

Elke betrokkene heeft het recht bij de verwerkingsverantwoordelijke bezwaar te maken tegen de verwerking en de overdraagbaarheid van de hem betreffende persoonsgegevens.

Om deze rechten uit te oefenen, kan de betrokkene PMV contacteren via één van de volgende kanalen:

  • per post: PMV, Oude Graanmarkt 63, B-1000 Brussel
  • telefonisch: 02/229.52.30

Hoewel deze rechten uitgeoefend dienen te worden ten opzichte van een specifieke verwerkingsverantwoordelijke, is het mogelijk dat een betrokkene zulk verzoek aan de PMV-groep richt zonder de verwerkingsverantwoordelijke te specifiëren. Het is daarom van belang met de betrokkene af te stemmen ten opzichte van welke juridische entiteit hij of zij deze rechten wil uitoefenen.

5.2.Identificatie van de betrokkene

Teneinde een rechtmatige verwerking van persoonsgegevens te waarborgen, zal aan de betrokkene gevraagd worden zich te identificeren aan de hand van een kopie van de recto-zijde van de identiteitskaart of een ander geldig identiteitsbewijs.

5.3.Termijn

De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek informatie over het gevolg dat aan het verzoek is gegeven.

Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging.

5.4.Vorm

Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.

 

6.REGISTER VAN VERWERKINGSACTIVITEITEN

6.1.Overzicht van verwerkingsactiviteiten

Elke verwerkingsverantwoordelijke dient een register bij te houden van de verwerkingsactiviteiten die onder haar verantwoordelijkheid plaatsvinden.

PMV zal het register van de PMV-groep desgevraagd ter beschikking stellen van de toezichthoudende autoriteit.

6.2.Verantwoordelijkheden

De persoon die de mogelijkheid heeft om te beslissen of een verwerkingsactiviteit al dan niet plaatsvindt, is de verantwoordelijke voor deze verwerkingsactiviteit. Deze persoon dient onderscheiden te worden van de verwerkingsverantwoordelijke, met name de juridische entiteit die verantwoordelijk is voor alle verwerkingsactiviteiten die onder haar verantwoordelijkheid plaatsvinden.

Elke verantwoordelijke voor een verwerkingsactiviteit is mee verantwoordelijk voor de accurate beschrijving van deze verwerkingsactiviteit in het register van verwerkingsactiviteiten, en voor het steeds up-to-date zijn van deze beschrijving.

Dit betekent dat PMV bijvoorbeeld de verwerkingsverantwoordelijke is, maar dat de business manager van een bepaalde business activiteit de verantwoordelijke is voor een bepaalde verwerkingsactiviteit. Het is echter PMV die naar de toezichthoudende overheid toe verantwoordelijk is voor de juistheid van het register.

 

7.GEGEVENSEFFECTENBEOORDELING

7.1.Nieuwe soort verwerking

Alvorens een nieuwe soort verwerking wordt gestart, dient de verantwoordelijke voor de verwerkingsactiviteit in kwestie de vragenlijst in bijlage in te vullen, zodat een beoordeling kan worden uitgevoerd van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.

7.2.Bestaande verwerkingen

Wanneer blijkt dat er een verandering is in het risico van bestaande verwerkingen, dient de verantwoordelijke voor de verwerkingsactiviteit in kwestie eveneens de vragenlijst in bijlage in te vullen, zodat kan worden nagegaan of de eerder uitgevoerde gegevenseffectenbeoordeling nog steeds van toepassing is.

 

8.INBREUKEN IN VERBAND MET PERSOONSGEGEVENS

8.1.Melding binnen de PMV-groep

Eenieder die kennis neemt van een inbreuk in verband met persoonsgegevens, dient deze onmiddellijk te melden aan Tim Moonens (ICT manager) en Hilde Vervenne (bedrijfsjurist).

8.2.Melding aan de toezichthoudende overheid

Indien uit het onderzoek van een inbreuk in verband met persoonsgegeven blijkt dat het waarschijnlijk is dat deze een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, zal de betrokken verwerkingsverantwoordelijke zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur na er kennis van te hebben genomen, de inbreuk melden aan de Belgische Gegevensbeschermingsautoriteit.

8.3.Documentatie

De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.

9.PUBLICATIE EN EVALUATIE VAN HET PRIVACYBELEID

Het privacybeleid wordt publiek bekendgemaakt via publicatie op de website van PMV- groep.

Het privacybeleid wordt jaarlijks geëvalueerd en zo nodig tussentijds aangevuld door het groepsmanagementcomité.

H. DEFINITIES

  • “Betrokkene”: een geïdentificeerde of identificeerbare natuurlijke person.
  • “Persoonsgegeven”: alle informatie over een betrokkene.
  • “Identificeerbaar”: direct of indirect geïdentificeerd kunnen worden, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
  • “Verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
  • “Profilering”: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.
  • “Verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
  • “Verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
  • “Derde”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.
  • “Biometrische gegevens”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens.
  • “Gezondheidsgegevens”: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven.
  • “Genetische gegevens”: persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon.