Gepseudonimiseerde en geanonimiseerde gegevens

04 mei 2023

Het Hof van Justitie van de Europese Unie (het Hof) heeft op 26 april een opmerkelijke uitspraak gedaan over het delen van geanonimiseerde/gepseudonimiseerde (persoons)gegevens.[1] Het Hof heeft bepaald dat in deze specifieke zaak, gepseudonimiseerde persoonsgegevens die met een derde zijn gedeeld, door deze partij als geanonimiseerd mogen worden beschouwd. De gegevens worden dan niet langer aangemerkt als persoonsgegevens, waardoor de AVG niet meer van toepassing is.

Achtergrond van de rechtszaak

Deze zaak komt door een conflict tussen de Single Resolution Board (SRB) en de European Data Protection Supervisor (EDPS). De SRB heeft als taak om in te grijpen als banken in financiële problemen komen, om zo de impact van een mogelijk faillissement te beperken. In 2017 kwam er een Spaanse bank in de problemen. De SRB heeft het faillissement afgehandeld, maar er waren zorgen dat de werkwijze van SRB had geresulteerd in een benadeling van de aandeelhouders en crediteuren van de bank.

De SRB heeft alle aandeelhouders en crediteuren van de bank de kans gegeven om via een digitaal formulier hun bezwaren kenbaar te maken. De SRB heeft vervolgens aan Deloitte gevraagd om de door de SRB geselecteerde opmerkingen/bezwaren te gebruiken bij de beoordeling óf sprake was van benadeling. De opmerkingen zijn gepseudonimiseerd, alvorens deze werden gedeeld met Deloitte.  Meer in het bijzonder kreeg iedere inzending van een aandeelhouder of crediteur een unieke code. Voor zover in een inzending ook identificerende gegevens werden opgenomen, werd deze informatie niet gedeeld met Deloitte.

Procedure

De EDPS heeft meerdere klachten ontvangen over de werkwijze van de SRB. De mogelijkheid tot het delen van informatie met Deloitte zou namelijk niet in het privacystatement van SRB zijn vermeld. De EDPS heeft de zaak beoordeeld en kwam tot de conclusie dat het delen van gepseudonimiseerde gegevens door SRB – zonder daarvan melding te maken in het privacystatement – een schending is van haar informatieplicht. De SRB is echter van mening dat de gepseudonimiseerde gegevens – nadat deze waren gedeeld met Deloitte – niet meer als persoonsgegeven konden worden aangemerkt, waardoor er geen sprake kan zijn van een overtreding van de AVG.

Uitspraak van het Hof

Het Hof zoekt aansluiting bij een eerder door haar gewezen arrest (Beyer/Bundesrepublik Deutschland),[2] waarin het Hof bepaalde dat een IP-adres kan worden aangemerkt als een persoonsgegeven. De internetleverancier van dat IP-adres kan namelijk achterhalen aan wie het IP-adres is gekoppeld, zodat de pseudonimisering kan worden teruggedraaid.

In de zaak Beyer/Bundesrepublik Deutschland ging het dus om een derde (i.e. de internetleverancier) die een natuurlijke persoon kon identificeren aan de hand van een IP-adres. In de onderhavige zaak was het echter alleen voor SRB mogelijk om een natuurlijke persoon te identificeren middels de gepseudonimiseerde gegevens. SRB behoudt dus als enige volledige controle over het al dan niet terugdraaien van de pseudonimisering. Deloitte kan daarvoor geen derde inschakelen (althans, daar heeft het EDPS bij haar besluitvorming geen onderzoek naar gedaan)

Het Hof oordeelt dan ook dat de SRB de AVG niet heeft overtreden, omdat Deloitte enkel geanonimiseerde gegevens heeft ontvangen. De met Deloitte gedeelde gegevens kunnen namelijk enkel met medewerking van de SRB herleidbaar worden gemaakt.

Conclusie

Voor de vraag of er sprake is van geanonimiseerde/gepseudonimiseerde (persoons)gegevens, dient men te kijken naar de data waarover een partij beschikt en de wijze waarop deze door de verstrekkende partij is aangeleverd. Het kan dus zijn dat bepaalde gegevens voor de ontvangende partij anoniem zijn, terwijl deze voor de verstrekkende partij nog herleidbaar zijn (gepseudonimiseerde gegevens).

Heeft u vragen over het anonimiseren, pseudonimiseren en/of delen van persoonsgegevens? Neem dan gerust contact op met Robin Verhoef.

[1] HvJ EU 26 april 2023, ECLI:EU:T:2023:219 (SRB/EDPS).

[2] HvJ EU 19 oktober 2016, ECLI:EU:C:2016:779 (Beyer/Bundesrepublik Deutschland)

Robin Verhoef nieuw