Tijdens de plenaire vergadering van de European Data Protection Board (EDPB) op 16 januari 2025 zijn nieuwe concept richtlijnen over pseudonimisering van persoonsgegevens gepresenteerd. Deze richtlijnen bieden zowel juridische als technische handvatten en benadrukken pseudonimisering als een effectieve maatregel voor het beschermen van persoonsgegevens. De richtlijnen staan tot 28 februari 2025 open voor consultatie. Organisaties en experts worden aangemoedigd om feedback te geven.
De concept richtlijnen hebben in potentie aanzienlijke implicaties voor de manier waarop partijen persoonsgegevens (laten) verwerken voor primaire en secundaire doeleinden. Er leek namelijk tot op heden consensus te bestaan over het feit dat pseudonieme data voor de ene partij, anonieme data voor een derde partij kan zijn, wanneer het voor die laatste partij redelijkerwijs (in de zin van tijd, kosten, mankracht) niet mogelijk is om natuurlijke personen te identificeren (zie ook overweging 26 AVG). Hoewel ook nog aparte richtlijnen omtrent het anonimiseren van persoonsgegevens worden verwacht, kunnen de huidige concept richtlijnen over pseudonimiseren een mogelijke voorbode zijn voor een (te) restrictieve benadering van anonimiseren.
Pseudonimisering is een techniek waarbij identificerende elementen van persoonsgegevens worden vervangen door unieke codes. Dit maakt het lastiger om de gegevens te herleiden tot een specifieke persoon zonder aanvullende informatie. Hoewel pseudonimiseren geen volledige anonimiteit garandeert, vermindert het wel de impact van bijvoorbeeld een datalek en versterkt het de beveiliging van gegevensverwerking.
De nieuwe richtlijnen benadrukken dat pseudonimisering niet alleen een beveiligingsmaatregel is, maar ook een instrument kan zijn om de grondslag “gerechtvaardigd belang” te versterken. Bedrijven die pseudonimisering toepassen, kunnen aantonen dat zij extra maatregelen nemen om de privacy van betrokkenen te beschermen. De richtlijnen maken duidelijk dat pseudonimisering een verwerking van persoonsgegevens is en daarom onder de AVG valt. Dit betekent dat organisaties pseudonimiseerde gegevens goed moeten beveiligen en passende technische en organisatorische maatregelen moeten nemen. Voorbeelden zijn encryptie en toegangsbeperkingen voor de aanvullende informatie die nodig is om de koppeling met de oorspronkelijke gegevens te maken.
Het onderscheid tussen pseudonimisering en anonimisering wordt in de richtlijnen benoemd. Bij pseudonimisering blijft de mogelijkheid tot herleiding naar een individu bestaan, terwijl bij anonimisering alle identificatiemogelijkheden volledig worden verwijderd. Dit verschil is essentieel, omdat alleen anonieme gegevens buiten de reikwijdte van de AVG vallen.
De richtlijnen gaan in op technische maatregelen om ongewenste koppelingen van gegevens te voorkomen, zoals het gebruik van cryptografie, hashing en strikte toegangscontrole. Hashing wordt bijvoorbeeld genoemd als een methode waarbij gegevens worden omgezet in unieke hashwaardes die moeilijk zijn terug te rekenen naar de oorspronkelijke gegevens. De EDPB benadrukt echter dat gehashte gegevens, afhankelijk van de context, vaak nog steeds als persoonsgegevens worden beschouwd. Risico’s zoals brute-force attacks of de beschikbaarheid van aanvullende informatie moeten zorgvuldig worden gemitigeerd.
De richtlijnen bevatten ook een annex met tien praktijkvoorbeelden. Deze voorbeelden richten zich onder andere op het gebruik van pseudonimisering in medische data voor wetenschappelijk onderzoek, klantdata-analyse in marketing zonder profilering, en het veiligstellen van gegevens in klinische proeven. Dit maakt de richtlijnen relevant voor verschillende sectoren.
Als het gaat om het concept ‘persoonsgegevens’ lijkt de benadering van de EDPB echter restrictiever dan die van het Hof van Justitie van de Europese Unie (HvJEU). Veel experts hopen dat het Hof in de SRB-zaak een standpunt inneemt dat meer duidelijkheid biedt over de status van pseudonimiseerde gegevens en hoe deze worden behandeld bij overdracht aan derden. De timing van de richtlijnen is bovendien opmerkelijk, omdat het HvJEU op het punt staat te oordelen over deze belangwekkende zaak, waarbij ook nog eens haar zusterorganisatie EDPS betrokken is.
In de SRB-zaak draait het om de vraag wanneer gegevens niet langer als persoonsgegevens onder de AVG worden beschouwd. In 2023 beoordeelde het Gerecht van de Europese Unie een geschil waarbij het Single Resolution Board (SRB) Deloitte inschakelde voor een raadplegingsproces met schuldeisers en aandeelhouders van Banco Popular. Tijdens dit proces deelde het SRB gepseudonimiseerde gegevens met Deloitte, die niet konden worden herleid tot specifieke individuen. Zijn deze gegevens in handen van Deloitte dan nog steeds persoonsgegevens, wanneer Deloitte redelijkerwijs geen natuurlijke personen kon identificeren?
Het Gerecht oordeelde dat gegevens pas als anoniem kunnen worden beschouwd als het juridisch en praktisch onmogelijk is om ze te herleiden tot individuen, zelfs wanneer ze gepseudonimiseerd zijn. Dit oordeel is belangrijk voor de interpretatie van pseudonimisering, vooral in gevallen waarin gegevens met derden worden gedeeld. De zaak benadrukt dus de spanning tussen pseudonimisering en anonimiteit, en het Hof moet nu bepalen of deze interpretatie standhoudt en de lijn in Breyer en volgende arresten doorzet.
Een belangrijk punt in de guidelines is dat pseudonimiseerde data, afhankelijk van de context, nog steeds als persoonsgegevens wordt beschouwd onder de AVG. Dit verschilt van de benadering in het Verenigd Koninkrijk, waar pseudonimiseerde gegevens onder bepaalde voorwaarden als anoniem kunnen worden beschouwd, zoals uiteengezet in de Common Services Agency v. Scottish Information Commissioner-zaak. In deze zaak werd geoordeeld dat wanneer het onmogelijk is voor de ontvanger van pseudonimiseerde gegevens om individuen te identificeren, de informatie niet als ‘persoonsgegevens’ wordt beschouwd. Dit is in lijn met de ICO-guidelines, die korter en toegankelijker zijn dan die van de EDPB. Volgens de ICO kan dergelijke data anoniem zijn voor de ontvangende partij, afhankelijk van hun mogelijkheden om de gegevens terug te herleiden naar individuen. Dit wordt ook wel “effectief anoniem” genoemd.
De nieuwe EDPB-guidelines bieden waardevolle inzichten voor organisaties die pseudonimisering willen inzetten om persoonsgegevens beter te beschermen en naleving van de AVG te waarborgen. De vraag is of de nieuwe richtlijnen in lijn zijn met vaste jurisprudentie van het HvJEU. De guidelines zijn tot 28 februari 2025 open voor consultatie. Organisaties en experts worden aangemoedigd om feedback te geven.
