Pseudoniem is niet altijd anoniem: duidelijkheid over datadeling met derden

Twee fasen, twee niveaus van identificatie

Investeerders moesten zich eerst identificeren en aantonen dat zij door de afwikkeling hun investering verloren. Daarbij werden identiteitsbewijzen en bewijsstukken ingediend, die alleen de SRB kon inzien. Vervolgens konden de investeerders hun opmerkingen over het voorlopige besluit indienen. Deze reacties werden niet met namen gedeeld, maar gekoppeld aan een code. Deloitte werd ingeschakeld om de reacties te analyseren en kreeg daarbij alleen de opmerkingen met een code te zien, zonder de mogelijkheid om die terug te koppelen naar de investeerders. Alleen de SRB beschikte over de koppeling tussen codes en identiteiten. De eerste vraag die werd gesteld is: zijn de gepseudonimiseerde gegevens nog steeds persoonsgegevens?

Het oordeel van het Hof: relatieve benadering

Het Hof bevestigt dat opmerkingen van de investeerders persoonsgegevens zijn. Ze bevatten namelijk meningen en standpunten die aan een individu toebehoren. Maar het Hof nuanceert dit door een relatieve beoordeling te hanteren. Specifiek voor Deloitte waren de gegevens níet herleidbaar, omdat het auditkantoor geen toegang had tot de koppeltabel.

Dit onderscheid is cruciaal. Het betekent dat de kwalificatie van persoonsgegevens niet absoluut is, maar kan verschillen afhankelijk van wie de ontvanger is en welke middelen die partij redelijkerwijs kan inzetten om een persoon te identificeren.

Eerder arrest met een absoluut uitgangspunt

Deze relatieve benadering van het Hof is opvallend, omdat in eerdere rechtspraak juist het absolute uitgangspunt centraal stond. Zo oordeelde het Hof in de zaak Breyer dat dynamische IP-adressen ook persoonsgegevens zijn, omdat de aanbieder van de online dienst met behulp van aanvullende informatie (zoals gegevens van de internetprovider) de gebruiker kan identificeren. Daarbij moest rekening worden gehouden met “alle middelen waarvan redelijkerwijs gebruik kan worden gemaakt”. Waar in Breyer dus een ruime uitleg werd gehanteerd en pseudonieme data al snel als persoonsgegevens golden, kiest het Hof in de SRB-zaak voor een genuanceerdere, relatieve beoordeling die afhankelijk is van de rol en de mogelijkheden van de ontvanger.

Informatieplicht: het moment van verzamelen

De tweede vraag ging over de informatieplicht. Betrokkenen moeten weten wie de ontvangers van hun gegevens zijn. Het Hof stelt vast dat dit op het moment van verzamelen moet gebeuren. Ook als een derde partij de gegevens slechts in gepseudonimiseerde vorm ontvangt, moet de SRB vooraf melden dat Deloitte (mogelijk) ontvanger is.

Omdat de SRB dit destijds niet had gedaan, werd de zaak terugverwezen naar het Gerecht om dit punt te herstellen.

Wat betekent dit voor de praktijk?

Voor marketing- en datagedreven organisaties zijn er lessen te trekken.

• Pseudoniem is niet anoniem
  Ook al kan een derde partij de data niet terugkoppelen, de oorspronkelijke verwerkingsverantwoordelijke blijft verplicht zorgvuldig te informeren over ontvangers.
• Relatief persoonsgegevensbegrip
  Of gegevens persoonsgegevens zijn, hangt mede af van de positie van de ontvanger. Dat biedt ruimte, maar ook onzekerheid.
• Risico’s bij outsourcing
  Wanneer analyses of klantonderzoeken worden uitbesteed, moet in de privacyverklaring helder staan wie de (eventuele) ontvangers zijn, ook als deze alleen pseudonieme data ontvangen.

Conclusie

Het Hof geeft met deze uitspraak richting in een belangrijk debat: pseudonimisering kan de herleidbaarheid beperken, maar neemt de verplichtingen voor de oorspronkelijke verwerkingsverantwoordelijke niet weg. Voor organisaties betekent dit dat zij transparant moeten zijn over elke derde partij die toegang krijgt tot datasets, hoe beperkt die toegang ook lijkt.

• Laatste legal updates in je mailbox? Meld je aan voor de DDMA Legal Nieuwsbrief.
• Ben je lid en heb je een vraag? Je kunt ons bereiken via 020 4528413 en legal@ddma.nl.
• Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.

Sara Mosch

Legal counsel