Twee fasen, twee niveaus van identificatie
Investeerders moesten zich eerst identificeren en aantonen dat zij door de afwikkeling hun investering verloren. Daarbij werden identiteitsbewijzen en bewijsstukken ingediend, die alleen de SRB kon inzien. Vervolgens konden de investeerders hun opmerkingen over het voorlopige besluit indienen. Deze reacties werden niet met namen gedeeld, maar gekoppeld aan een code. Deloitte werd ingeschakeld om de reacties te analyseren en kreeg daarbij alleen de opmerkingen met een code te zien, zonder de mogelijkheid om die terug te koppelen naar de investeerders. Alleen de SRB beschikte over de koppeling tussen codes en identiteiten. De eerste vraag die werd gesteld is: zijn de gepseudonimiseerde gegevens nog steeds persoonsgegevens?
Het oordeel van het Hof: relatieve benadering
Het Hof bevestigt dat opmerkingen van de investeerders persoonsgegevens zijn. Ze bevatten namelijk meningen en standpunten die aan een individu toebehoren. Maar het Hof nuanceert dit door een relatieve beoordeling te hanteren. Specifiek voor Deloitte waren de gegevens níet herleidbaar, omdat het auditkantoor geen toegang had tot de koppeltabel.
Dit onderscheid is cruciaal. Het betekent dat de kwalificatie van persoonsgegevens niet absoluut is, maar kan verschillen afhankelijk van wie de ontvanger is en welke middelen die partij redelijkerwijs kan inzetten om een persoon te identificeren.
Eerder arrest met een absoluut uitgangspunt
Deze relatieve benadering van het Hof is opvallend, omdat in eerdere rechtspraak juist het absolute uitgangspunt centraal stond. Zo oordeelde het Hof in de zaak Breyer dat dynamische IP-adressen ook persoonsgegevens zijn, omdat de aanbieder van de online dienst met behulp van aanvullende informatie (zoals gegevens van de internetprovider) de gebruiker kan identificeren. Daarbij moest rekening worden gehouden met “alle middelen waarvan redelijkerwijs gebruik kan worden gemaakt”. Waar in Breyer dus een ruime uitleg werd gehanteerd en pseudonieme data al snel als persoonsgegevens golden, kiest het Hof in de SRB-zaak voor een genuanceerdere, relatieve beoordeling die afhankelijk is van de rol en de mogelijkheden van de ontvanger.
Informatieplicht: het moment van verzamelen
De tweede vraag ging over de informatieplicht. Betrokkenen moeten weten wie de ontvangers van hun gegevens zijn. Het Hof stelt vast dat dit op het moment van verzamelen moet gebeuren. Ook als een derde partij de gegevens slechts in gepseudonimiseerde vorm ontvangt, moet de SRB vooraf melden dat Deloitte (mogelijk) ontvanger is.
Omdat de SRB dit destijds niet had gedaan, werd de zaak terugverwezen naar het Gerecht om dit punt te herstellen.
Wat betekent dit voor de praktijk?
Voor marketing- en datagedreven organisaties zijn er lessen te trekken.
- Pseudoniem is niet anoniem
Ook al kan een derde partij de data niet terugkoppelen, de oorspronkelijke verwerkingsverantwoordelijke blijft verplicht zorgvuldig te informeren over ontvangers. - Relatief persoonsgegevensbegrip
Of gegevens persoonsgegevens zijn, hangt mede af van de positie van de ontvanger. Dat biedt ruimte, maar ook onzekerheid. - Risico’s bij outsourcing
Wanneer analyses of klantonderzoeken worden uitbesteed, moet in de privacyverklaring helder staan wie de (eventuele) ontvangers zijn, ook als deze alleen pseudonieme data ontvangen.
Conclusie
Het Hof geeft met deze uitspraak richting in een belangrijk debat: pseudonimisering kan de herleidbaarheid beperken, maar neemt de verplichtingen voor de oorspronkelijke verwerkingsverantwoordelijke niet weg. Voor organisaties betekent dit dat zij transparant moeten zijn over elke derde partij die toegang krijgt tot datasets, hoe beperkt die toegang ook lijkt.
Sara Mosch
Ook interessant
Pseudoniem is niet altijd anoniem: duidelijkheid over datadeling met derden
Europese rechter over datadoorgifte VS: vertrouwen onder voorwaarden
