Het Hof van Justitie heeft op 4 september 2025 een belangrijke uitspraak gedaan waarbij het verduidelijkt wanneer er sprake is van pseudonimisering en wanneer gepseudonimiseerde gegevens niet meer aan te merken zijn als persoonsgegevens. Daarnaast heeft het Hof van Justitie ook duidelijkheid geschept over de informatieverplichting die geldt voor de verwerkingsverantwoordelijke.
Het is belangrijk om het verschil tussen gepseudonimiseerde en geanonimiseerde gegevens te benadrukken. Pseudonimisering en anonimisering zijn technieken die de herleidbaarheid van persoonsgegevens beïnvloeden. Voor de praktijk is het onderscheid tussen gepseudonimiseerde en geanonimiseerde gegevens relevant, want geanonimiseerde gegevens vallen buiten het toepassingsgebied van de AVG, terwijl de gepseudonimiseerde gegevens wel onder de AVG vallen, maar niet altijd, zo leert het arrest.
Kortgezegd was de achterliggende rechtsvraag in het arrest wanneer gepseudonimiseerde gegevens kwalificeren als persoonsgegevens.
Het arrest betreft een voorlopig besluit van de Single Resolution Board (Europese autoriteit voor de afwikkeling van banken) en gaat over de vraag of het nodig was om voormalige aandeelhouders van een Spaanse Bank een schadevergoeding toe te kennen. De Single Resolution Board had belanghebbenden verzocht om een vragenformulier in te vullen en opmerkingen in te dienen voor hun onderzoek over schadevergoedingen. De Single Resolution Board heeft de inzendingen gepseudonimiseerd, door de namen van de betrokken personen te verwijderen en te vervangen door alfanumerieke code’s (willekeurige gegeneerde codes). Verschillende betrokkenen hebben een klacht ingediend omdat zij stelden dat zij niet geïnformeerd waren van het doorsturen van de gegevens naar alle derden.
Het Hof van Justitie verduidelijkt in onderhavig arrest dat gepseudonimiseerde gegevens niet altijd per definitie persoonsgegevens zijn. Het Hof oordeelt dat gepseudonimiseerde gegevens enkel persoonsgegevens zijn voor een specifieke ontvanger van die desbetreffende gegevens als
de ontvanger toegang heeft tot middelen waarvan redelijkerwijs verwacht kan worden dat zij worden gebruikt om de betrokkene te identificeren.
Dit brengt met zich mee dat dezelfde gegevens voor de ene ontvanger wel gekwalificeerd kunnen worden als persoonsgegevens waardoor de AVG van toepassing is, en voor een andere ontvanger van dezelfde gegevens niet. Het Hof verduidelijkt dat gepseudonimiseerde gegevens dus niet altijd per definitie persoonsgegevens zijn maar dat de kwalificatie afhankelijk is van de specifieke omstandigheden van de ontvangers.
In dit arrest wordt duidelijk dat technische maatregelen die getroffen zijn ten aanzien van de persoonsgegevens voor pseudonimisering door een verwerkingsverantwoordelijke relevant zijn en ertoe doen bij de beoordeling of er sprake is van persoonsgegevens. Indien er namelijk voldoende technische maatregelen zijn getroffen, waardoor het niet mogelijk is voor een ontvanger om de pseudonimisering terug te draaien, worden deze gegevens niet als persoonsgegevens beschouwd. Dit brengt met zich mee dat de AVG niet van toepassing is op de verhouding tussen de verwerkingsverantwoordelijke en de desbetreffende ontvanger.
Belangrijk om te benoemen is dat het Hof van Justitie heeft geoordeeld dat zelfs in het geval gegevens gepseudonimiseerd zijn voor verstrekking aan derden, de originele verwerkingsverantwoordelijke nog steeds moet voldoen aan de AVG en daarom betrokkenen ook moet informeren over de verstrekking aan derden.
De toepassing van informatieverplichting, op grond waarvan de verwerkingsverantwoordelijke de betrokkene onder andere moet informeren over het gebruik van de gegevens en de ontvangers, moet worden beoordeeld op het moment waarop de gegevens worden verzameld en vanuit het perspectief van de verwerkingsverantwoordelijke.
Dit betekent dat de informatieverplichting deel uitmaakt van de rechtsverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, en dat aan die verplichting in beginsel moet worden voldaan op het moment dat de persoonsgegevens worden verzameld, ongeacht of deze gegevens later geen persoonsgegevens zijn voor de ontvangers.
Disclaimer
Let op dat dit slechts een algemene samenvatting is van het arrest van het Hof van Justitie en dat de enige uitzonderingen op de hoofdregels hierin zijn weggelaten.
