Afgelopen november publiceerde de Europese Commissie de Digitale Omnibussen. Een stapel voorstellen die door allerlei belangrijke digitale rechten een streep dreigen te halen. In dit artikel gaan we dieper in wat de voorgestelde wetswijzigingen inhouden.
De Europese Commissie stelt voor om gepseudonimiseerde gegevens niet meer als persoonsgegevens aan te merken. Hierdoor zou de Algemene verordening gegevensbescherming (AVG) niet meer van toepassing zijn. Bij geanonimiseerde persoonsgegevens is dat nu al zo, maar het verschil is dat er bij geanonimiseerde gegevens geen sleutel is waarmee gegevens terug te herleiden zijn tot de persoon. Bij gepseudonimiseerde persoonsgegevens is die sleutel er wel. Iedereen die deze sleutel heeft kan bij gepseudonimiseerde versleutelde persoonsgegevens achterhalen wie de persoon in kwestie is. Dat maakt gegevensbescherming belangrijk.
De afgelopen jaren is het door grootschalige dataverzameling en de ontwikkeling van technologie steeds makkelijker geworden om gegevens te koppelen. Door verschillende databronnen te combineren, bestaat de mogelijkheid dat je ook geanonimiseerde gegevens kunt herleiden tot een persoon. Denk bijvoorbeeld aan reisgegevens. Iemand die steeds dezelfde route neemt van huis naar werk, kan vrij eenvoudig achterhaald worden. Er worden daarom hoge eisen gesteld aan anonimisering, waarbij rekening gehouden moet worden aan de mogelijkheid dat iemand tóch herleidbaar is. Nu gaat de Europese Commissie hier volledig aan voorbij door pseudonimisering uit te willen zonderen van de AVG. En dat heeft grote gevolgen voor burgers, want versleutelde gegevens worden op grote schaal verwerkt. Nu moeten er echter waarborgen worden genomen om de gegevens te beschermen, waarbij ook rekening moet worden gehouden met de mogelijkheid dat gegevens toch weer herleidbaar zijn tot een persoon. Met dit voorstel verdwijnen alle waarborgen.
Lees hier de rest van het artikel
