Spring naar content

Twee fasen, twee niveaus van identificatie

Investeerders moesten zich eerst identificeren en aantonen dat zij door de afwikkeling hun investering verloren. Daarbij werden identiteitsbewijzen en bewijsstukken ingediend, die alleen de SRB kon inzien. Vervolgens konden de investeerders hun opmerkingen over het voorlopige besluit indienen. Deze reacties werden niet met namen gedeeld, maar gekoppeld aan een code. Deloitte werd ingeschakeld om de reacties te analyseren en kreeg daarbij alleen de opmerkingen met een code te zien, zonder de mogelijkheid om die terug te koppelen naar de investeerders. Alleen de SRB beschikte over de koppeling tussen codes en identiteiten. De eerste vraag die werd gesteld is: zijn de gepseudonimiseerde gegevens nog steeds persoonsgegevens?

Het oordeel van het Hof: relatieve benadering

Het Hof bevestigt dat opmerkingen van de investeerders persoonsgegevens zijn. Ze bevatten namelijk meningen en standpunten die aan een individu toebehoren. Maar het Hof nuanceert dit door een relatieve beoordeling te hanteren. Specifiek voor Deloitte waren de gegevens níet herleidbaar, omdat het auditkantoor geen toegang had tot de koppeltabel.

Dit onderscheid is cruciaal. Het betekent dat de kwalificatie van persoonsgegevens niet absoluut is, maar kan verschillen afhankelijk van wie de ontvanger is en welke middelen die partij redelijkerwijs kan inzetten om een persoon te identificeren.

Eerder arrest met een absoluut uitgangspunt

Deze relatieve benadering van het Hof is opvallend, omdat in eerdere rechtspraak juist het absolute uitgangspunt centraal stond. Zo oordeelde het Hof in de zaak Breyer dat dynamische IP-adressen ook persoonsgegevens zijn, omdat de aanbieder van de online dienst met behulp van aanvullende informatie (zoals gegevens van de internetprovider) de gebruiker kan identificeren. Daarbij moest rekening worden gehouden met “alle middelen waarvan redelijkerwijs gebruik kan worden gemaakt”. Waar in Breyer dus een ruime uitleg werd gehanteerd en pseudonieme data al snel als persoonsgegevens golden, kiest het Hof in de SRB-zaak voor een genuanceerdere, relatieve beoordeling die afhankelijk is van de rol en de mogelijkheden van de ontvanger.

Informatieplicht: het moment van verzamelen

De tweede vraag ging over de informatieplicht. Betrokkenen moeten weten wie de ontvangers van hun gegevens zijn. Het Hof stelt vast dat dit op het moment van verzamelen moet gebeuren. Ook als een derde partij de gegevens slechts in gepseudonimiseerde vorm ontvangt, moet de SRB vooraf melden dat Deloitte (mogelijk) ontvanger is.

Omdat de SRB dit destijds niet had gedaan, werd de zaak terugverwezen naar het Gerecht om dit punt te herstellen.

Wat betekent dit voor de praktijk?

Voor marketing- en datagedreven organisaties zijn er lessen te trekken.

  • Pseudoniem is niet anoniem
    Ook al kan een derde partij de data niet terugkoppelen, de oorspronkelijke verwerkingsverantwoordelijke blijft verplicht zorgvuldig te informeren over ontvangers.
  • Relatief persoonsgegevensbegrip
    Of gegevens persoonsgegevens zijn, hangt mede af van de positie van de ontvanger. Dat biedt ruimte, maar ook onzekerheid.
  • Risico’s bij outsourcing
    Wanneer analyses of klantonderzoeken worden uitbesteed, moet in de privacyverklaring helder staan wie de (eventuele) ontvangers zijn, ook als deze alleen pseudonieme data ontvangen.

Conclusie

Het Hof geeft met deze uitspraak richting in een belangrijk debat: pseudonimisering kan de herleidbaarheid beperken, maar neemt de verplichtingen voor de oorspronkelijke verwerkingsverantwoordelijke niet weg. Voor organisaties betekent dit dat zij transparant moeten zijn over elke derde partij die toegang krijgt tot datasets, hoe beperkt die toegang ook lijkt.

Sara Mosch

Legal counsel

Ook interessant

Lees meer
AVG |

Pseudoniem is niet altijd anoniem: duidelijkheid over datadeling met derden

Wat gebeurt er als je data deelt zonder namen, maar wél met codes? In een recente zaak rond een failliete Spaanse bank kreeg Deloitte van toezichthouder SRB honderden reacties van…
Lees meer
AVG |

Europese rechter over datadoorgifte VS: vertrouwen onder voorwaarden

Het Hof van Justitie van de EU heeft zich opnieuw uitgesproken over de doorgifte van persoonsgegevens naar de Verenigde Staten. De uitspraak bevestigt dat doorgifte onder het huidige Data Privacy…
Lees meer
Cookies |

Data with Purpose: Why First-Party Data Is Crucial for NGOs

In a data-driven world, NGOs face a different reality than commercial organisations. Instead of selling products or services, they build communities, foster trust, and strive for long-term social impact. But…