In een recente uitspraak van het Hof van Justitie van de Europese Unie (EDPS v GAR) is een belangrijke stap gezet in de discussie over pseudonieme, anonieme en persoonsgegevens. Het Hof bevestigt wat velen in het veld al langer betoogden: gepseudonimiseerde gegevens kunnen onder bepaalde omstandigheden wél persoonsgegevens zijn voor de verstrekker, maar géén persoonsgegevens zijn voor de ontvanger. De kwalificatie van gegevens hangt af van de concrete omstandigheden en de positie van de ontvanger. Deze benadering wordt ook wel aangeduid als de contextuele benadering en speelt een belangrijke rol bij de vraag: is de AVG van toepassing?
In de afwikkeling van het faillissement van het Spaanse Banco Popular heeft de Gemeenschappelijke Afwikkelingsraad (‘GAR’) opmerkingen van getroffen aandeelhouders en crediteuren onderzocht. De GAR verzocht Deloitte, als onafhankelijk auditkantoor, om ook enkele opmerkingen te beoordelen. De onderzoekers van Deloitte hadden daarbij geen toegang tot de gegevens van de aandeelhouders en crediteuren; enkel tot een unieke alfanumerieke code die aan elke opmerking was toegekend. Deze unieke numerieke code was ontwikkeld voor de auditdoeleinden.
Aandeelhouders en crediteuren hebben vervolgens echter klachten ingediend bij de Europese Toezichthouder voor gegevensbescherming (‘EDPS’). Dit omdat de GAR hen niet had geïnformeerd over de verstrekking van hun persoonsgegevens aan Deloitte. De discussie die volgde draaide niet alleen om de informatieplicht van de GAR, maar (juist) ook om de fundamentele vraag: zijn er überhaupt wel persoonsgegevens aan Deloitte verstrekt of zijn de gegevens door de numerieke code dusdanig gepseudonimiseerd dat de gegevens voor Deloitte anoniem waren?[1]
Pseudonimisering betekent dat er maatregelen zijn genomen om te zorgen dat persoonsgegevens niet gemakkelijk meer te herleiden zijn tot een individu. In deze zaak had de GAR opmerkingen van aandeelhouders en crediteuren gedeeld met Deloitte, maar daarbij waren hun gegevens gepseudonimiseerd. Er was een numerieke code aan de opmerkingen toegekend, waardoor Deloitte de gegevens niet kon herleiden tot de individuele aandeelhouders en crediteuren.
Voor de GAR gold dat nog aanvullende gegevens beschikbaar waren waardoor de opmerkingen voor de GAR – ondanks de numerieke code – hun persoonlijke karakter behielden. Deloitte had echter geen toegang tot die aanvullende gegevens.
Het Hof benadrukt in dit arrest (nogmaals) dat het erom gaat of de ontvanger (Deloitte) in redelijkheid de mogelijkheid had om de personen te identificeren. Als identificatie wettelijk verboden is of in de praktijk bijna onmogelijk blijkt – bijvoorbeeld omdat het te veel tijd, geld of personeel kost – hoeft er niet van uit te worden gegaan dat de ontvanger kan identificeren.
Het Hof stelt dan ook vast dat pseudonimisering kan betekenen dat gegevens voor de ontvanger geen persoonsgegevens zijn, ook al blijven zij dat wel voor de verstrekker. Ook het bestaan van aanvullende gegevens – bij een andere partij – aan de hand waarvan de betrokkenen alsnog kunnen worden geïdentificeerd, impliceert niet dat gepseudonimiseerde gegevens dan maar in alle gevallen en voor alle partijen persoonsgegevens zijn.
Er dient aldus steeds te worden gekeken naar de context en de concrete omstandigheden van het geval. Het Hof noemt daarbij twee voorwaarden om te kunnen spreken van anonieme gegevens:
de ontvanger beschikt niet over de mogelijkheid om de pseudonimiseringsmaatregelen ongedaan te maken; en
die pseudonimiseringsmaatregelen zijn zo effectief dat de ontvanger de gegevens ook niet met andere middelen opnieuw aan personen kan koppelen. In andere woorden: de ontvanger beschikt niet over juridische of praktische middelen om de gegevens (weer) te kunnen koppelen aan een individu.
Dit sluit ook aan bij de contextuele lijn uit het Breyer-arrest en daarmee verwerpt het Hof de meer absolute lijn van de EDPS en de European Data Protection Board (‘EDPB’), die stellen dat gepseudonimiseerde gegevens altijd persoonsgegevens blijven zolang er ergens aanvullende informatie bestaat. De vrij recente guidelines van de EPDB inzake pseudonimisering zullen aldus in lijn met dit arrest moeten worden aangepast.
Deze contextuele lijn werd overigens in april 2025 ook al gevolgd door een lagere Nederlandse rechter, waarin de rechter zich uitliet over direct en indirect herleidbare persoonsgegevens. In deze zaak oordeelde de rechtbank dat het voor de ontvanger – de Nederlandse Zorgautoriteit – redelijkerwijs niet mogelijk was de gegevens te herleiden tot individuen. De gegevens waren door hashing gepseudonimiseerd en daarmee versleuteld. De ontvanger kon deze gegevens niet ‘ontsleutelen’. Zij beschikte namelijk niet over de sleutel om de hashing, en daarmee de pseudonimisering, ongedaan te maken. Het was daarom voor de ontvanger technisch gezien niet mogelijk om de versleuteling terug te draaien. Ook had de ontvanger geen wettelijke bevoegdheid om (niet-gepseudonimiseerde) gegevens op te vragen om zo de koppeling te kunnen maken. De rechtbank kwam aldus ook hier tot de conclusie dat de gegevens geen persoonsgegevens waren voor de ontvanger.
Het Hof benadrukt dat de informatieplicht niet kan worden opgelegd aan een entiteit die helemaal niet tot identificatie in staat is. Deloitte was hiervoor dan ook niet de aangewezen partij. Voor de toepassing van de informatieplicht moet de identificeerbaarheid worden beoordeeld op het moment waarop de gegevens worden verzameld.
Dit betekent dat de GAR al vóórdat de gepseudonimiseerde opmerkingen aan Deloitte werden verstrekt, verplicht was om aan de informatieplicht te voldoen. Het maakt daarbij niet uit of de gegevens voor Deloitte persoonsgegevens zijn. Op het moment dat de gegevens bij de aandeelhouders en crediteuren werden verzameld, had de GAR al informatie moeten verstrekken over eventuele ontvangers, bijvoorbeeld in de privacyverklaring. Daarbij kon ook meteen worden uitgelegd welke maatregelen waren genomen. Zo weten betrokkenen hoe hun gegevens worden beschermd en waar zij hun rechten kunnen uitoefenen.
Voor de vraag of de AVG van toepassing is, is het allereerst van belang te weten of sprake is van ‘persoonsgegevens’. Met dit arrest bevestigt het Hof de contextuele benadering. Waar toezichthouders vaak kozen voor de benadering “alles blijft altijd een persoonsgegeven”, creëert het Hof meer ruimte voor maatwerk en meer rechtszekerheid voor organisaties die werken met goede pseudonimisering.
Van belang is in ieder geval dat uw organisatie per ontvanger analyseert of identificatie redelijkerwijs mogelijk is en documenteer deze afwegingen goed. Pas eventueel uw privacyverklaring(en) hierop aan. Voor de verstrekker blijven immers de AVG-verplichtingen richting de betrokkenen gelden.
