Pseudonimisering is volgens de Algemene Verordening Gegevensbescherming (AVG) een mogelijke maatregel om persoonsgegevens te beschermen. Maar hoe doe je dat? Wanneer is er sprake van gepseudonimiseerde dan wel geanonimiseerde gegevens? En hoe zit het met de toepasselijkheid van privacywetgeving op geanonimiseerde gegevens? Het juridisch kader lijkt helder, maar in de praktijk blijken veel organisaties moeite te hebben met deze vragen.
In dit blog ga ik in op deze vragen aan de hand van een recente uitspraak van het Gerecht van het Hof van Justitie waarin opheldering wordt gegeven over de vraag wanneer een gegeven als voldoende anoniem mag worden beschouwd en daarmee niet langer een persoonsgegeven is. Verder wordt in deze uitspraak aan de kaak gesteld dat een gegeven voor de ene partij gepseudonimiseerd kan zijn, terwijl deze tegelijkertijd voor een derde partij geanonimiseerd is.
Anonieme of gepseudonimiseerde gegevens?
Pseudonimisering wordt in de AVG gedefinieerd als “het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt”. Bij pseudonimiseren worden persoonsgegevens bijvoorbeeld met een bepaald algoritme vervangen door versleutelde gegevens. Door de versleuteling te ontcijferen is het mogelijk om de gegevens na versleuteling alsnog naar de betrokken persoon te herleiden, het proces is dus omkeerbaar. Anonieme persoonsgegevens hebben geen betrekking op een geïdentificeerde of identificeerbare persoon of zijn zodanig anoniem gemaakt dat de betrokkene niet meer identificeerbaar is. In tegenstelling tot pseudonimiseren is dit proces niet meer omkeerbaar. Pseudonimiseren maakt het dus moeilijk om informatie tot een persoon te leiden, anonimiseren maakt dit onmogelijk. De AVG is van toepassing op gepseudonimiseerde gegevens, maar is niet meer van toepassing wanneer sprake is van volledig geanonimiseerde gegevens.
Recente uitspraak van het Gerecht van het Hof van Justitie
Achtergrond
Deze kwestie zag op een conflict tussen de Gemeenschappelijke Afwikkelingsraad (GAR) en de Europese Toezichthouder voor gegevensbescherming (EDPS). De GAR is de Europese autoriteit die zorgt draagt voor een ordelijke afwikkeling van banken, om de gevolgen bij een faillissement zo veel mogelijk te beperken. Toen de GAR in 2017 een faillissement van een Spaanse bank afhandelde, waren er zorgen dat haar werkwijze had geleid tot een benadeling van de aandeelhouders en crediteuren van de bank. De GAR heeft de getroffen aandeelhouders en crediteuren de mogelijkheid gegeven om hierover gehoord te worden door via een online formulier hun opmerkingen en bezwaren in te dienen.
De GAR heeft deze opmerkingen en bezwaren vervolgens gedeeld met een adviesbureau voor een onafhankelijk extern advies. Alvorens de gegevens werden gedeeld zijn deze wel gepseudonimiseerd, de persoonsgegevens bij de opmerking en bezwaren werden weggenomen, er werd slechts een unieke alfanumerieke code aan gekoppeld. Het adviesbureau beschikte niet over de sleutel om die code te herleiden tot een persoon, de sleutel bevond zich enkel bij de GAR. De EDPS ontving van verschillende aandeelhouders en crediteuren klachten over het feit dat het van tevoren onvoldoende duidelijk was gemaakt door de GAR dat hun gegevens met het adviesbureau gedeeld zouden worden.
Gepseudonimiseerde of anonieme gegevens
De zaak kwam uiteindelijk voor het Gerecht van het Hof van Justitie, dat zich moest buigen over de vraag of de gedeelde gegevens überhaupt identificeerbaar waren voor het adviesbureau. Volgens de GAR konden de gepseudonimiseerde gegevens, nadat ze met het adviesbureau waren gedeeld, niet meer als persoonsgegevens worden aangemerkt voor het adviesbureau. De EDPS onderkende dat het voor het adviesbureau onmogelijk was om aan de hand van de unieke alfanumerieke code de identiteit van een persoon te herleiden, maar was desondanks van mening dat de gegevens voor het adviesbureau als gepseudonimiseerde gegevens kwalificeerden, nu zich bij de GAR wel een sleutel bevond.
Het Gerecht verwijst naar het eerdere Breyer-arrest van het HvJ EU uit 2016, waarin werd geoordeeld over de vraag of een dynamisch IP-adres kan worden aangemerkt als een persoonsgegeven. Het is daarbij van belang om te beoordelen of een partij beschikt over een middel dat redelijkerwijs kan worden ingezet om de betrokkene te identificeren. Daarvan is in ieder geval geen sprake als identificatie van de betrokkene bij wet verboden wordt of in de praktijk ondoenlijk is, bijvoorbeeld omdat het een excessieve inspanning zou vergen. Bovendien volgde uit het Breyer-arrest dat vanuit het perspectief van de verwerkende partij moet worden beoordeeld of er sprake is van persoonsgegevens. In de onderhavige zaak heeft de EDPS ten onrechte enkel vanuit de positie van de GAR getoetst of er sprake is van persoonsgegevens, zij had zich aldus in de positie van het adviesbureau moeten verplaatsen om te bepalen of de met haar gedeelde gegevens betrekking hebben op identificeerbare personen.
Nu het adviesbureau niet over aanvullende informatie beschikt om betrokkenen opnieuw te identificeren en niet over wettelijke middelen beschikt om toegang te krijgen tot dergelijke informatie, kunnen de gedeelde gegevens ten aanzien van het adviesbureau als geanonimiseerd en dus niet als persoonsgegevens worden beschouwd. Het feit dat de GAR over de middelen beschikt om de betrokkenen opnieuw te identificeren doet daar niet aan af en betekent niet dat de verstrekte gegevens automatisch ook persoonsgegevens zijn voor de ontvanger.
Conclusie
Alhoewel de conclusie van deze uitspraak nog wat vragen met zich brengt, zoals bijvoorbeeld of er een verwerkersovereenkomst moet worden gesloten als gegevens voor de ene partij persoonsgegevens zijn en voor de andere niet, geeft deze uitspraak op bepaalde punten een zeer welkome verheldering. Dit omdat er in de praktijk regelmatig discussie bestaat over de vraag of gegevens kwalificeren als persoonsgegevens.
Om te bepalen of privacywetgeving van toepassing is moet niet worden beoordeeld of gegevens voor een partij identificeerbaar zijn, maar of gegevens voor een specifieke partij identificeerbaar zijn. De gepseudonimiseerde gegevens die in deze zaak met een derde zijn gedeeld, mochten door die derde als geanonimiseerd worden beschouwd, met als gevolg dat de AVG daarop niet meer van toepassing is.
Om te beoordelen of er sprake is van gepseudonimiseerde of geanonimiseerde (persoons)gegevens moeten de informatie waarover een partij beschikt en de wijze waarop deze informatie door de verstrekkende partij is aangeleverd in acht worden genomen. Deze beoordeling moet plaatsvinden vanuit het perspectief van de ontvangende partij. Het kan daardoor mogelijk zijn dat gegevens voor de verstrekkende partij nog herleidbaar zijn tot een betrokken persoon (gepseudonimiseerd), terwijl deze voor de ontvangende partij volledig anoniem zijn. Om te voldoen aan de privacywetgeving is het van belang dat een organisatie zich hiervan bewust is op het moment dat gegevens worden gedeeld met derde partijen.
Pseudonimisering is volgens de Algemene Verordening Gegevensbescherming (AVG) een mogelijke maatregel om persoonsgegevens te beschermen. Maar hoe doe je dat? Wanneer is er sprake van gepseudonimiseerde dan wel geanonimiseerde gegevens? En hoe zit het met de toepasselijkheid van privacywetgeving op geanonimiseerde gegevens? Het juridisch kader lijkt helder, maar in de praktijk blijken veel organisaties moeite te hebben met deze vragen.
In dit blog ga ik in op deze vragen aan de hand van een recente uitspraak van het Gerecht van het Hof van Justitie waarin opheldering wordt gegeven over de vraag wanneer een gegeven als voldoende anoniem mag worden beschouwd en daarmee niet langer een persoonsgegeven is. Verder wordt in deze uitspraak aan de kaak gesteld dat een gegeven voor de ene partij gepseudonimiseerd kan zijn, terwijl deze tegelijkertijd voor een derde partij geanonimiseerd is.
Anonieme of gepseudonimiseerde gegevens?
Pseudonimisering wordt in de AVG gedefinieerd als “het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt”. Bij pseudonimiseren worden persoonsgegevens bijvoorbeeld met een bepaald algoritme vervangen door versleutelde gegevens. Door de versleuteling te ontcijferen is het mogelijk om de gegevens na versleuteling alsnog naar de betrokken persoon te herleiden, het proces is dus omkeerbaar. Anonieme persoonsgegevens hebben geen betrekking op een geïdentificeerde of identificeerbare persoon of zijn zodanig anoniem gemaakt dat de betrokkene niet meer identificeerbaar is. In tegenstelling tot pseudonimiseren is dit proces niet meer omkeerbaar. Pseudonimiseren maakt het dus moeilijk om informatie tot een persoon te leiden, anonimiseren maakt dit onmogelijk. De AVG is van toepassing op gepseudonimiseerde gegevens, maar is niet meer van toepassing wanneer sprake is van volledig geanonimiseerde gegevens.
Recente uitspraak van het Gerecht van het Hof van Justitie
Achtergrond
Deze kwestie zag op een conflict tussen de Gemeenschappelijke Afwikkelingsraad (GAR) en de Europese Toezichthouder voor gegevensbescherming (EDPS). De GAR is de Europese autoriteit die zorgt draagt voor een ordelijke afwikkeling van banken, om de gevolgen bij een faillissement zo veel mogelijk te beperken. Toen de GAR in 2017 een faillissement van een Spaanse bank afhandelde, waren er zorgen dat haar werkwijze had geleid tot een benadeling van de aandeelhouders en crediteuren van de bank. De GAR heeft de getroffen aandeelhouders en crediteuren de mogelijkheid gegeven om hierover gehoord te worden door via een online formulier hun opmerkingen en bezwaren in te dienen.
De GAR heeft deze opmerkingen en bezwaren vervolgens gedeeld met een adviesbureau voor een onafhankelijk extern advies. Alvorens de gegevens werden gedeeld zijn deze wel gepseudonimiseerd, de persoonsgegevens bij de opmerking en bezwaren werden weggenomen, er werd slechts een unieke alfanumerieke code aan gekoppeld. Het adviesbureau beschikte niet over de sleutel om die code te herleiden tot een persoon, de sleutel bevond zich enkel bij de GAR. De EDPS ontving van verschillende aandeelhouders en crediteuren klachten over het feit dat het van tevoren onvoldoende duidelijk was gemaakt door de GAR dat hun gegevens met het adviesbureau gedeeld zouden worden.
Gepseudonimiseerde of anonieme gegevens
De zaak kwam uiteindelijk voor het Gerecht van het Hof van Justitie, dat zich moest buigen over de vraag of de gedeelde gegevens überhaupt identificeerbaar waren voor het adviesbureau. Volgens de GAR konden de gepseudonimiseerde gegevens, nadat ze met het adviesbureau waren gedeeld, niet meer als persoonsgegevens worden aangemerkt voor het adviesbureau. De EDPS onderkende dat het voor het adviesbureau onmogelijk was om aan de hand van de unieke alfanumerieke code de identiteit van een persoon te herleiden, maar was desondanks van mening dat de gegevens voor het adviesbureau als gepseudonimiseerde gegevens kwalificeerden, nu zich bij de GAR wel een sleutel bevond.
Het Gerecht verwijst naar het eerdere Breyer-arrest van het HvJ EU uit 2016, waarin werd geoordeeld over de vraag of een dynamisch IP-adres kan worden aangemerkt als een persoonsgegeven. Het is daarbij van belang om te beoordelen of een partij beschikt over een middel dat redelijkerwijs kan worden ingezet om de betrokkene te identificeren. Daarvan is in ieder geval geen sprake als identificatie van de betrokkene bij wet verboden wordt of in de praktijk ondoenlijk is, bijvoorbeeld omdat het een excessieve inspanning zou vergen. Bovendien volgde uit het Breyer-arrest dat vanuit het perspectief van de verwerkende partij moet worden beoordeeld of er sprake is van persoonsgegevens. In de onderhavige zaak heeft de EDPS ten onrechte enkel vanuit de positie van de GAR getoetst of er sprake is van persoonsgegevens, zij had zich aldus in de positie van het adviesbureau moeten verplaatsen om te bepalen of de met haar gedeelde gegevens betrekking hebben op identificeerbare personen.
Nu het adviesbureau niet over aanvullende informatie beschikt om betrokkenen opnieuw te identificeren en niet over wettelijke middelen beschikt om toegang te krijgen tot dergelijke informatie, kunnen de gedeelde gegevens ten aanzien van het adviesbureau als geanonimiseerd en dus niet als persoonsgegevens worden beschouwd. Het feit dat de GAR over de middelen beschikt om de betrokkenen opnieuw te identificeren doet daar niet aan af en betekent niet dat de verstrekte gegevens automatisch ook persoonsgegevens zijn voor de ontvanger.
Conclusie
Alhoewel de conclusie van deze uitspraak nog wat vragen met zich brengt, zoals bijvoorbeeld of er een verwerkersovereenkomst moet worden gesloten als gegevens voor de ene partij persoonsgegevens zijn en voor de andere niet, geeft deze uitspraak op bepaalde punten een zeer welkome verheldering. Dit omdat er in de praktijk regelmatig discussie bestaat over de vraag of gegevens kwalificeren als persoonsgegevens.
Om te bepalen of privacywetgeving van toepassing is moet niet worden beoordeeld of gegevens voor een partij identificeerbaar zijn, maar of gegevens voor een specifieke partij identificeerbaar zijn. De gepseudonimiseerde gegevens die in deze zaak met een derde zijn gedeeld, mochten door die derde als geanonimiseerd worden beschouwd, met als gevolg dat de AVG daarop niet meer van toepassing is.
Om te beoordelen of er sprake is van gepseudonimiseerde of geanonimiseerde (persoons)gegevens moeten de informatie waarover een partij beschikt en de wijze waarop deze informatie door de verstrekkende partij is aangeleverd in acht worden genomen. Deze beoordeling moet plaatsvinden vanuit het perspectief van de ontvangende partij. Het kan daardoor mogelijk zijn dat gegevens voor de verstrekkende partij nog herleidbaar zijn tot een betrokken persoon (gepseudonimiseerd), terwijl deze voor de ontvangende partij volledig anoniem zijn. Om te voldoen aan de privacywetgeving is het van belang dat een organisatie zich hiervan bewust is op het moment dat gegevens worden gedeeld met derde partijen.