Dit artikel is ook gepubliceerd op Emerce.
In dit artikel gaan we in op de volgende punten:
- De AVG is uitsluitend van toepassing op persoonsgegevens
- Wat zijn (geanonimiseerde) persoonsgegevens?
- Voorbeeld: de Breyer-zaak
- De GAR-zaak, een verkeerde interpretatie van de Breyer-toetsing
- Wat betekent dit voor de praktijk?
De AVG is uitsluitend van toepassing op persoonsgegevens
De regels van de Algemene Verordening Gegevensbescherming (AVG) zijn enkel van toepassing op gegevens die je kunt kwalificeren als persoonsgegevens. Dat betekent dat wanneer het niet om persoonsgegevens gaat, je geen rekening hoeft te houden met de AVG-beginselen en (administratieve) verplichtingen. Denk aan het vragen van toestemming, het informeren over het gebruik van de gegevens in een privacy statement, het sluiten van verwerkersovereenkomsten, het bijhouden van een verwerkingenregister óf het uitvoeren van een complex Data Privacy Impact Assessment (DPIA). Om deze verplichtingen en eventuele boetes uit te sluiten, zijn veel bedrijven (waaronder Big Tech) aan het onderzoeken of er alternatieve oplossingen bestaan. Denk daarbij bijvoorbeeld aan Clean Rooms of Privacy Enhancing Techniques (PET’s). Daarnaast is er ook een voordeel vanuit ethisch oogpunt: er is een betere privacybescherming als je gegevens anoniem verwerkt.
Wat zijn geanonimiseerde persoonsgegevens?
Toch zien we vaak nog veel verwarring over de terminologie rondom persoonsgegevens. Zo wordt bij het gebruik van standaard versleutelingstechnieken (zoals hashing) vaak gesproken van anonimiseren, terwijl het hier vanuit juridisch perspectief kan gaan om pseudonimiseren, waardoor je wél te maken hebt met AVG-regelsOm de verwarring weg te kunnen nemen, speelt de definitie van persoonsgegevens in de AVG een belangrijke rol. Deze bestaat uit de volgende 4-stapstoets, waarbij het gaat om:
- alle informatie: gegevens waar betekenis aan zit zoals een telefoonnummer, huisadres of IP-adres
- over: de informatie zegt wat over iemand
- een geïdentificeerde of identificeerbare: het direct of indirect kunnen herleiden naar een individu, iemand specifiek kunnen aanwijzen
- natuurlijk persoon: gegevens van een levend persoon, bijvoorbeeld niet van bedrijven
Als één van deze stappen niet aanwezig is, gaat het om anonieme gegevens. Zo bevestigt ook de AVG zelf:
De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.
Een belangrijke voorwaarde die we hier teruglezen, is dat de persoonsgegevens zodanig zijn aangepast dat deze het niet meer mogelijk maken om een individu direct of indirect te identificeren.
Let wel op: omdat het in eerste instantie wél al om persoonsgegevens gaat, is de AVG wel van toepassing. Maar wanneer je de gegevens vervolgens aanpast, hoef je bij het verdere gebruik geen rekening meer te houden met de AVG-regels.
Directe herleidbaarheid is goed te begrijpen: dit gaat om gegevens die gelijk gekoppeld kunnen worden aan een individu, zoals een naam om een e-mailadres. Het begrip indirect is daarentegen wat complexer. Hierbij gaat het om gegevens die met behulp van andere beschikbare gegevens toch tot een individu kunnen leiden. Denk daarbij bijvoorbeeld aan je BSN-nummer of een kenteken. Zonder aanvullende informatie kan je er niet zoveel mee, maar met de juiste middelen wel. Daarbij moet volgens de AVG rekening worden gehouden met ‘alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt’.
Je kunt je vast voorstellen dat het al een aantal jaar onduidelijk is wat binnen deze redelijke verwachting valt. Bij hashing-technieken worden persoonsgegevens aangepast naar een willekeurige reeks tekens, waardoor de gegevens niet meer direct te herleiden zijn naar een natuurlijk persoon. Maar wanneer je over de sleutel beschikt, kun je deze tekenreeks weer omzetten in persoonsgegevens en is het indirect toch herleidbaar. In dat geval spreken we van pseudonimiseren in plaats van anonimiseren.
De Breyer-zaak: de sleuteluitspraak voor toekomstige jurisprudentie
Wanneer ligt in de redelijke verwachting dat een organisatie over alle middelen beschikt om gegevens te herleiden? Hoe breed moet je dit zien? Lange tijd werd op basis van een oordeel van de hoogste Europese rechter in de Breyer-zaak gedacht dat dit erg breed was. Het Hof oordeelde in die zaak dat dynamische IP-adressen, die wijzigen bij iedere nieuwe verbinding met het internet, moeten worden gezien als persoonsgegevens. Hierbij werd getoetst aan de criteria:
- Is de identificatie van een persoon in de praktijk ondoenlijk (omdat het onredelijk veel tijd/kosten vergt of simpelweg technisch onmogelijk is)
- of is het verboden bij wet?
Is het antwoord ‘ja’ op deze vragen, dan kun je gegevens niet tot een persoon herleiden en zijn het geen persoonsgegevens.
In dit geval hield de Duitse overheid de dynamische IP-adressen samen met een datum/tijd bij in een logboek vanuit beveiligingsoverwegingen, maar beschikte zelf niet direct over de gegevens om te achterhalen wie bij IP-adres hoorde. Maar in tegenstelling tot een verbod in de wet, beschikt de Duitse overheid juist over de bevoegdheid om de aanvullende informatie op te vragen bij een internetprovider. Daardoor oordeelde het Hof dat het binnen de redelijke verwachting valt dat de Duitse overheid over de juiste middelen beschikt om de gegevens te herleiden.
Het Hof beschouwde hiermee het theoretische gebruik van de bevoegdheid als voldoende, waardoor er tot dusver vanuit werd gegaan dat dit ook voor hashing (of andere versleutelingstechnieken) gold. Zo omschreef eerder de voorloper van de Europese koepel van privacy toezichthouders (Artikel 29 werkgroep) dat hashing geen waterdichte methode is. Het is namelijk mogelijk om middels brute computerkracht iedere mogelijke sleutel te testen, de juiste te achterhalen en de gegevens te herleiden.
De GAR-zaak, een verkeerde interpretatie van de Breyer-toetsing
De vragen die tijdens de Breyer-zaak werden getoetst kunnen wel te streng worden geïnterpreteerd. In een recent oordeel heeft het Europees Hof nuance gebracht op een eerder ‘te streng’ besluit van de privacytoezichthouder voor Europese organen (EDPS). In deze zaak ging het om namen en e-mailadressen die door de Gemeenschappelijke Afwikkelingsraad voor faillissementen van Europese banken (GAR) vooraf gehashed werden doorgestuurd naar consultancybedrijf Deloitte voor onderzoek. De EDPS had op basis van de Breyer-toetsvragen besloten dat het hier om persoonsgegevens ging en de GAR een tik op de vingers gegeven omdat het niet informeerde over het doorsturen van de gegevens naar Deloitte.
Het Hof bevestigde de Breyer-toetsing en stelde dat het ook in deze zaak mogelijk om persoonsgegevens zou kunnen gaan, ondanks het feit dat Deloitte niet beschikte over de juiste sleutel. Maar volgens het Hof heeft de EDPS verkeerd getoetstomdat er niet werd aangetoond dat redelijkerwijs te verwachten valt dat Deloitte over de sleutel beschikt om de hash te herleiden naar een persoon. De privacytoezichthouder had namelijk enkel gekeken naar de mogelijkheid voor de GAR om de gegevens te ontsleutelen. Daarnaast had Deloitte, in tegenstelling tot de Breyer-zaak, niet de wettelijke bevoegdheid om aanvullende informatie op te vragen. Hierdoor was het oordeel van het Hof dat niet vastgesteld kon worden dat het hier om persoonsgegevens ging.
Wat betekent dit voor de praktijk?
Wanneer je gebruik maakt van versleutelingstechnieken en goed kunt onderbouwen op basis van de Breyer-toetsing dat de ontvangende partij niet de mogelijkheid heeft om deze te ontsleutelen, werk je niet met persoonsgegevens en zou je kunnen stellen dat de AVG niet van toepassing is. Het gebruik aanvullende maatregelen en technieken zoals hashing, Clean Rooms en PET’s zouden die onderbouwing kunnen versterken.
Concluderen dat deze technieken 100% waterdicht zijn, blijft daarentegen nog even afwachten. We zijn nog afhankelijk van rechters of toezichthouders om te bepalen of een dergelijke onderbouwing voldoende is. Daarnaast zit er mogelijk ook een verschil tussen kleinere organisaties en Big Tech partijen. Laatstgenoemden beschikken namelijk over een grote hoeveelheid aan data, waardoor het mogelijk moeilijker te onderbouwen is dat zij geen gegevens tot personen herleiden.
- Laatste legal updates in je mailbox? Meld je aan voor de DDMA Legal Nieuwsbrief.
- Ben je lid en heb je een vraag? Je kunt ons bereiken via 020 4528413 en legal@ddma.nl.
- Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.