Spring naar content

Twee fasen, twee niveaus van identificatie

Investeerders moesten zich eerst identificeren en aantonen dat zij door de afwikkeling hun investering verloren. Daarbij werden identiteitsbewijzen en bewijsstukken ingediend, die alleen de SRB kon inzien. Vervolgens konden de investeerders hun opmerkingen over het voorlopige besluit indienen. Deze reacties werden niet met namen gedeeld, maar gekoppeld aan een code. Deloitte werd ingeschakeld om de reacties te analyseren en kreeg daarbij alleen de opmerkingen met een code te zien, zonder de mogelijkheid om die terug te koppelen naar de investeerders. Alleen de SRB beschikte over de koppeling tussen codes en identiteiten. De eerste vraag die werd gesteld is: zijn de gepseudonimiseerde gegevens nog steeds persoonsgegevens?

Het oordeel van het Hof: relatieve benadering

Het Hof bevestigt dat opmerkingen van de investeerders persoonsgegevens zijn. Ze bevatten namelijk meningen en standpunten die aan een individu toebehoren. Maar het Hof nuanceert dit door een relatieve beoordeling te hanteren. Specifiek voor Deloitte waren de gegevens níet herleidbaar, omdat het auditkantoor geen toegang had tot de koppeltabel.

Dit onderscheid is cruciaal. Het betekent dat de kwalificatie van persoonsgegevens niet absoluut is, maar kan verschillen afhankelijk van wie de ontvanger is en welke middelen die partij redelijkerwijs kan inzetten om een persoon te identificeren.

Eerder arrest met een absoluut uitgangspunt

Deze relatieve benadering van het Hof is opvallend, omdat in eerdere rechtspraak juist het absolute uitgangspunt centraal stond. Zo oordeelde het Hof in de zaak Breyer dat dynamische IP-adressen ook persoonsgegevens zijn, omdat de aanbieder van de online dienst met behulp van aanvullende informatie (zoals gegevens van de internetprovider) de gebruiker kan identificeren. Daarbij moest rekening worden gehouden met “alle middelen waarvan redelijkerwijs gebruik kan worden gemaakt”. Waar in Breyer dus een ruime uitleg werd gehanteerd en pseudonieme data al snel als persoonsgegevens golden, kiest het Hof in de SRB-zaak voor een genuanceerdere, relatieve beoordeling die afhankelijk is van de rol en de mogelijkheden van de ontvanger.

Informatieplicht: het moment van verzamelen

De tweede vraag ging over de informatieplicht. Betrokkenen moeten weten wie de ontvangers van hun gegevens zijn. Het Hof stelt vast dat dit op het moment van verzamelen moet gebeuren. Ook als een derde partij de gegevens slechts in gepseudonimiseerde vorm ontvangt, moet de SRB vooraf melden dat Deloitte (mogelijk) ontvanger is.

Omdat de SRB dit destijds niet had gedaan, werd de zaak terugverwezen naar het Gerecht om dit punt te herstellen.

Wat betekent dit voor de praktijk?

Voor marketing- en datagedreven organisaties zijn er lessen te trekken.

  • Pseudoniem is niet anoniem
    Ook al kan een derde partij de data niet terugkoppelen, de oorspronkelijke verwerkingsverantwoordelijke blijft verplicht zorgvuldig te informeren over ontvangers.
  • Relatief persoonsgegevensbegrip
    Of gegevens persoonsgegevens zijn, hangt mede af van de positie van de ontvanger. Dat biedt ruimte, maar ook onzekerheid.
  • Risico’s bij outsourcing
    Wanneer analyses of klantonderzoeken worden uitbesteed, moet in de privacyverklaring helder staan wie de (eventuele) ontvangers zijn, ook als deze alleen pseudonieme data ontvangen.

Conclusie

Het Hof geeft met deze uitspraak richting in een belangrijk debat: pseudonimisering kan de herleidbaarheid beperken, maar neemt de verplichtingen voor de oorspronkelijke verwerkingsverantwoordelijke niet weg. Voor organisaties betekent dit dat zij transparant moeten zijn over elke derde partij die toegang krijgt tot datasets, hoe beperkt die toegang ook lijkt.

Sara Mosch

Legal counsel

Ook interessant

Lees meer
AI Act |

AI Impact Assessment voor verantwoord gebruik van AI in marketing

Hoe zorg je dat AI-systemen binnen marketing op een ethische, transparante en juridisch verantwoorde manier wordt ingezet, terwijl je bewust blijft van de mogelijke risico’s?
Lees meer
AI Act |

Wat je nu moet regelen voor ads in verkiezingstijd

Toen Meta aankondigde dat het vanaf oktober 2025 geen politieke of ‘issue’-advertenties meer zou toestaan in de EU, was dat geen principedebat, maar een compliancebeslissing. De nieuwe Europese regels voor…
Lees meer
AVG |

Pseudoniem is niet altijd anoniem: duidelijkheid over datadeling met derden

Wat gebeurt er als je data deelt zonder namen, maar wél met codes? In een recente zaak rond een failliete Spaanse bank kreeg Deloitte van toezichthouder SRB honderden reacties van…