In een eerdere blog schreef ik over de uitspraak van het Gerecht van de Europese Unie waarin opheldering werd gegeven over de vraag wanneer een gegeven als voldoende anoniem mag worden beschouwd en daarmee niet langer een persoonsgegeven is. In een recent arrest van het Hof van Justitie van de Europese Unie ('HvJ EU') wordt deze uitspraak van het Gerecht echter herzien. Het HvJ EU oordeelt opnieuw in de discussie rondom pseudonieme en anonieme persoonsgegevens.
Wat was er ook alweer aan de hand?
In 2017 wed het faillissement van de Banco Popular Español afgewikkeld door de Europese Gemeenschappelijke Afwikkelingsraad (‘GAR’). Om te kunnen beoordelen of een compensatie moest worden toegekend aan aandeelhouders en crediteuren van de bank organiseerde de GAR een procedure waarin zij via een online formulier opmerkingen en bezwaren konden indienen. Deze opmerkingen en bezwaren werden vervolgens gedeeld met een adviesbureau voor een onafhankelijk extern advies. Dit gebeurde wel in gepseudonimiseerde vorm; de persoonsgegevens van de aandeelhouders en crediteuren werden weggenomen en er werd slechts een alfanumerieke code aan alle opmerkingen gekoppeld.
De Europese Toezichthouder voor gegevensbescherming (‘EDPS’) ontving vervolgens klachten van verschillende aandeelhouders en crediteuren over het feit dat de GAR hen niet had geïnformeerd dat hun gegevens met een adviesbureau gedeeld zouden worden. Dit leidde tot een discussie die niet enkel draaide om het al dan niet schenden van de informatieplicht door de GAR, maar (juist) ook om de fundamentele vraag of er überhaupt wel persoonsgegevens waren verstrekt aan het externe adviesbureau of dat de gegevens dusdanig gepseudonimiseerd waren dat de gegevens voor het adviesbureau anoniem waren.
Volgens de EDPS was het niet relevant dat het adviesbureau geen toegang had tot de aanvullende informatie aan de hand waarvan identificatie mogelijk was. De EDPS was van mening dat gepseudonimiseerde gegevens ook gepseudonimiseerd blijven wanneer zij worden doorgegeven aan een derde die niet over aanvullende gegevens beschikt. Haar oordeel was dan ook dat de GAR zijn informatieplicht had geschonden door de betrokkenen hier niet over in te lichten. Het Gerecht kwam echter tot de conclusie dat de EDPS had moeten onderzoeken of de aan het adviesbureau doorgezonden opmerkingen voor het adviesbureau persoonsgegevens vormden om te kunnen concluderen dat er sprake was van een schending van de informatieplicht. Nu de EDPS dit enkel had beoordeeld vanuit het oogpunt van de GAR die de gegevens verstrekte, maar niet (ook) vanuit het oogpunt van het adviesbureau die de gegevens ontving, vernietigde het Gerecht het besluit van de EDPS. Het EDPS ging in hoger beroep tegen dit oordeel.
Oordeel van het HvJ EU
Het HvJ EU benadrukt allereerst dat persoonlijke meningen of standpunten bijzonder van aard zijn, die als uitdrukking van iemands gedachte noodzakelijkerwijs nauw verbonden zijn met die persoon en dus altijd een persoonsgegeven vormen. Het Gerecht oordeelde eerder dat de EDPS eerst de inhoud, het doel of de gevolgen van de opmerkingen van aandeelhouders en crediteuren had moeten onderzoeken, voor zij tot de slotsom kon komen dat de informatie uit de aan het adviesbureau toegezonden opmerkingen gegevens ‘betreffende’ een natuurlijk persoon betrof. Volgens het HvJ EU was dit oordeel onjuist, nu immers al vaststond dat de opmerkingen de persoonlijke mening of het persoonlijke standpunt van de auteurs ervan weergaven en hiermee dus sprake was van een persoonsgegeven.
Verder bepaalt het HvJ EU – anders dan de EDPS stelde, maar wel in lijn met het eerdere oordeel van het Gerecht – dat gepseudonimiseerde gegevens niet in alle gevallen en voor eenieder mogen worden beschouwd als persoonsgegevens voor de toepassing van de AVG. Ook het bestaan van aanvullende gegevens bij een andere partij, aan de hand waarvan de betrokkene alsnog geïdentificeerd kan worden, doet daar niet aan af. Pseudonimisering kan, afhankelijk van de omstandigheden van het geval, immers daadwerkelijk verhinderen dat andere personen dan de verwerkingsverantwoordelijke de betrokkene op zodanige wijze identificeren dat deze betrokkene voor hen niet (meer) identificeerbaar is. Omdat de GAR over aanvullende gegevens beschikt waarmee de opmerkingen aan de aandeelhouders en crediteuren kunnen worden gekoppeld, behouden de opmerkingen voor de GAR, ondanks de pseudonimisering ervan, een persoonlijk karakter. Voor het adviesbureau kunnen deze opmerkingen wel anonieme gegevens zijn, mits de pseudonimisering effectief is geweest en identificatie redelijkerwijs onmogelijk is. Het HvJ EU bevestigt aldus dat pseudonimisering ertoe kan leiden dat gegevens voor de verstrekker wel persoonsgegevens blijven, terwijl het tegelijkertijd voor de ontvangende partij geen persoonsgegevens meer zijn.
Tot slot gaat het HvJ EU nog in op de informatieplicht en benadrukt zij dat deze niet kan worden opgelegd aan een entiteit die helemaal niet tot identificatie in staat is. Voor de toepassing van de informatieverplichting moet de identificeerbaarheid van de betrokkene daarom worden beoordeeld op het moment van verzameling van de gegevens, en dus voor een eventuele doorgifte van die informatie aan een derde, en vanuit het oogpunt van de verwerkingsverantwoordelijke. De vraag of de verwerkingsverantwoordelijke aan zijn informatieverplichting heeft voldaan kan immers niet afhangen van de mogelijkheden waarover een eventuele ontvanger beschikt voor de identificatie van de betrokkene na een latere doorgifte van de gegevens. In tegenstelling tot het eerdere oordeel van het Gerecht had het in dit geval dus niet vanuit het perspectief van het adviesbureau bekeken moeten worden, maar vanuit het perspectief van de GAR.
Uiteindelijk vernietigt het HvJ EU het arrest van het Gerecht en wordt de zaak terugverwezen voor verdere beoordeling.
Conclusie
Om te kunnen beoordelen of de AVG van toepassing is, is het van belang om eerst te weten of er sprake is van ‘persoonsgegevens’. Organisaties moeten zich bewust zijn van het feit dat subjectieve gegevens – zoals persoonlijke meningen en standpunten –, maar ook gepseudonimiseerde data, als persoonsgegevens kunnen kwalificeren zodra deze herleidbaar zijn tot een individu.
Het arrest van het HvJ EU is met name interessant vanwege twee punten. Het arrest toont allereerst aan dat organisaties zich niet kunnen verschuilen achter pseudonimisering om transparantie- en informatieverplichtingen te ontlopen. Het maakt voor een partij die persoonsgegevens verstrekt dan ook niet uit of de gegevens door de ontvangende partij als persoonsgegevens kunnen worden aangemerkt. Het doorzenden van pseudonieme gegevens is vanuit de verstrekker als verwerkingsverantwoordelijke immers een verwerking van persoonsgegevens die aan de AVG moet voldoen, waaronder de informatieplicht die op de verstrekker rust. Op het moment dat persoonsgegevens worden verzameld moet de organisatie die deze wil doorzenden al informatie verstrekken over eventuele ontvangers aan de betrokkenen.
Ten tweede volgt uit het arrest dat gegevens die door een andere partij zijn gepseudonimiseerd en vervolgens worden doorgezonden voor de ontvangende partij niet altijd als persoonsgegevens hoeven te worden beschouwd. Er moet dan wel sprake zijn van effectieve pseudonimisering die er daadwerkelijk toe leidt dat identificatie door de ontvanger redelijkerwijs niet meer mogelijk is. In dat geval is de data anoniem voor de ontvanger en is de AVG daarop niet meer van toepassing. Dat kan voor de praktijk bijzonder nuttig zijn in verschillende gevallen, bijvoorbeeld in samenwerkingen met derde partijen, maar ook bij internationale datatransfers. Wanneer gegevens dusdanig gepseudonimiseerd zijn dat deze voor de ontvanger in een derde land niet langer persoonsgegevens vormen, dan kunnen de ‘passende waarborgen’ die normaliter wel vereist zijn voor het doorzenden van persoonsgegevens buiten de EER achterwege blijven. Dat kan voor de verwerkingsverantwoordelijke enorm veel schelen. Ook in het geval dat een ziekenhuis bijvoorbeeld gegevens van patiënten wil delen met een universiteit voor onderzoek naar de effectiviteit van een nieuw medicijn, is het zeer wenselijk dat het ziekenhuis de gegevens zodanig bewerkt dat de universiteit de identiteit van een patiënt in ieder geval niet meer kan achterhalen. Hierdoor kunnen deze gegevens vrijer worden gedeeld voor wetenschappelijk onderzoek, zonder dat de strenge regels van de AVG van toepassing zijn.
Contact
Wilt u meer specifiek weten wat deze uitspraak betekent voor uw organisatie of kunt u bijvoorbeeld hulp gebruiken bij het beoordelen van uw gegevensstromen of het aanpassen van uw privacy verklaringen, neem dan contact op met één van onze specialisten.
In een eerdere blog schreef ik over de uitspraak van het Gerecht van de Europese Unie waarin opheldering werd gegeven over de vraag wanneer een gegeven als voldoende anoniem mag worden beschouwd en daarmee niet langer een persoonsgegeven is. In een recent arrest van het Hof van Justitie van de Europese Unie ('HvJ EU') wordt deze uitspraak van het Gerecht echter herzien. Het HvJ EU oordeelt opnieuw in de discussie rondom pseudonieme en anonieme persoonsgegevens.
Wat was er ook alweer aan de hand?
In 2017 wed het faillissement van de Banco Popular Español afgewikkeld door de Europese Gemeenschappelijke Afwikkelingsraad (‘GAR’). Om te kunnen beoordelen of een compensatie moest worden toegekend aan aandeelhouders en crediteuren van de bank organiseerde de GAR een procedure waarin zij via een online formulier opmerkingen en bezwaren konden indienen. Deze opmerkingen en bezwaren werden vervolgens gedeeld met een adviesbureau voor een onafhankelijk extern advies. Dit gebeurde wel in gepseudonimiseerde vorm; de persoonsgegevens van de aandeelhouders en crediteuren werden weggenomen en er werd slechts een alfanumerieke code aan alle opmerkingen gekoppeld.
De Europese Toezichthouder voor gegevensbescherming (‘EDPS’) ontving vervolgens klachten van verschillende aandeelhouders en crediteuren over het feit dat de GAR hen niet had geïnformeerd dat hun gegevens met een adviesbureau gedeeld zouden worden. Dit leidde tot een discussie die niet enkel draaide om het al dan niet schenden van de informatieplicht door de GAR, maar (juist) ook om de fundamentele vraag of er überhaupt wel persoonsgegevens waren verstrekt aan het externe adviesbureau of dat de gegevens dusdanig gepseudonimiseerd waren dat de gegevens voor het adviesbureau anoniem waren.
Volgens de EDPS was het niet relevant dat het adviesbureau geen toegang had tot de aanvullende informatie aan de hand waarvan identificatie mogelijk was. De EDPS was van mening dat gepseudonimiseerde gegevens ook gepseudonimiseerd blijven wanneer zij worden doorgegeven aan een derde die niet over aanvullende gegevens beschikt. Haar oordeel was dan ook dat de GAR zijn informatieplicht had geschonden door de betrokkenen hier niet over in te lichten. Het Gerecht kwam echter tot de conclusie dat de EDPS had moeten onderzoeken of de aan het adviesbureau doorgezonden opmerkingen voor het adviesbureau persoonsgegevens vormden om te kunnen concluderen dat er sprake was van een schending van de informatieplicht. Nu de EDPS dit enkel had beoordeeld vanuit het oogpunt van de GAR die de gegevens verstrekte, maar niet (ook) vanuit het oogpunt van het adviesbureau die de gegevens ontving, vernietigde het Gerecht het besluit van de EDPS. Het EDPS ging in hoger beroep tegen dit oordeel.
Oordeel van het HvJ EU
Het HvJ EU benadrukt allereerst dat persoonlijke meningen of standpunten bijzonder van aard zijn, die als uitdrukking van iemands gedachte noodzakelijkerwijs nauw verbonden zijn met die persoon en dus altijd een persoonsgegeven vormen. Het Gerecht oordeelde eerder dat de EDPS eerst de inhoud, het doel of de gevolgen van de opmerkingen van aandeelhouders en crediteuren had moeten onderzoeken, voor zij tot de slotsom kon komen dat de informatie uit de aan het adviesbureau toegezonden opmerkingen gegevens ‘betreffende’ een natuurlijk persoon betrof. Volgens het HvJ EU was dit oordeel onjuist, nu immers al vaststond dat de opmerkingen de persoonlijke mening of het persoonlijke standpunt van de auteurs ervan weergaven en hiermee dus sprake was van een persoonsgegeven.
Verder bepaalt het HvJ EU – anders dan de EDPS stelde, maar wel in lijn met het eerdere oordeel van het Gerecht – dat gepseudonimiseerde gegevens niet in alle gevallen en voor eenieder mogen worden beschouwd als persoonsgegevens voor de toepassing van de AVG. Ook het bestaan van aanvullende gegevens bij een andere partij, aan de hand waarvan de betrokkene alsnog geïdentificeerd kan worden, doet daar niet aan af. Pseudonimisering kan, afhankelijk van de omstandigheden van het geval, immers daadwerkelijk verhinderen dat andere personen dan de verwerkingsverantwoordelijke de betrokkene op zodanige wijze identificeren dat deze betrokkene voor hen niet (meer) identificeerbaar is. Omdat de GAR over aanvullende gegevens beschikt waarmee de opmerkingen aan de aandeelhouders en crediteuren kunnen worden gekoppeld, behouden de opmerkingen voor de GAR, ondanks de pseudonimisering ervan, een persoonlijk karakter. Voor het adviesbureau kunnen deze opmerkingen wel anonieme gegevens zijn, mits de pseudonimisering effectief is geweest en identificatie redelijkerwijs onmogelijk is. Het HvJ EU bevestigt aldus dat pseudonimisering ertoe kan leiden dat gegevens voor de verstrekker wel persoonsgegevens blijven, terwijl het tegelijkertijd voor de ontvangende partij geen persoonsgegevens meer zijn.
Tot slot gaat het HvJ EU nog in op de informatieplicht en benadrukt zij dat deze niet kan worden opgelegd aan een entiteit die helemaal niet tot identificatie in staat is. Voor de toepassing van de informatieverplichting moet de identificeerbaarheid van de betrokkene daarom worden beoordeeld op het moment van verzameling van de gegevens, en dus voor een eventuele doorgifte van die informatie aan een derde, en vanuit het oogpunt van de verwerkingsverantwoordelijke. De vraag of de verwerkingsverantwoordelijke aan zijn informatieverplichting heeft voldaan kan immers niet afhangen van de mogelijkheden waarover een eventuele ontvanger beschikt voor de identificatie van de betrokkene na een latere doorgifte van de gegevens. In tegenstelling tot het eerdere oordeel van het Gerecht had het in dit geval dus niet vanuit het perspectief van het adviesbureau bekeken moeten worden, maar vanuit het perspectief van de GAR.
Uiteindelijk vernietigt het HvJ EU het arrest van het Gerecht en wordt de zaak terugverwezen voor verdere beoordeling.
Conclusie
Om te kunnen beoordelen of de AVG van toepassing is, is het van belang om eerst te weten of er sprake is van ‘persoonsgegevens’. Organisaties moeten zich bewust zijn van het feit dat subjectieve gegevens – zoals persoonlijke meningen en standpunten –, maar ook gepseudonimiseerde data, als persoonsgegevens kunnen kwalificeren zodra deze herleidbaar zijn tot een individu.
Het arrest van het HvJ EU is met name interessant vanwege twee punten. Het arrest toont allereerst aan dat organisaties zich niet kunnen verschuilen achter pseudonimisering om transparantie- en informatieverplichtingen te ontlopen. Het maakt voor een partij die persoonsgegevens verstrekt dan ook niet uit of de gegevens door de ontvangende partij als persoonsgegevens kunnen worden aangemerkt. Het doorzenden van pseudonieme gegevens is vanuit de verstrekker als verwerkingsverantwoordelijke immers een verwerking van persoonsgegevens die aan de AVG moet voldoen, waaronder de informatieplicht die op de verstrekker rust. Op het moment dat persoonsgegevens worden verzameld moet de organisatie die deze wil doorzenden al informatie verstrekken over eventuele ontvangers aan de betrokkenen.
Ten tweede volgt uit het arrest dat gegevens die door een andere partij zijn gepseudonimiseerd en vervolgens worden doorgezonden voor de ontvangende partij niet altijd als persoonsgegevens hoeven te worden beschouwd. Er moet dan wel sprake zijn van effectieve pseudonimisering die er daadwerkelijk toe leidt dat identificatie door de ontvanger redelijkerwijs niet meer mogelijk is. In dat geval is de data anoniem voor de ontvanger en is de AVG daarop niet meer van toepassing. Dat kan voor de praktijk bijzonder nuttig zijn in verschillende gevallen, bijvoorbeeld in samenwerkingen met derde partijen, maar ook bij internationale datatransfers. Wanneer gegevens dusdanig gepseudonimiseerd zijn dat deze voor de ontvanger in een derde land niet langer persoonsgegevens vormen, dan kunnen de ‘passende waarborgen’ die normaliter wel vereist zijn voor het doorzenden van persoonsgegevens buiten de EER achterwege blijven. Dat kan voor de verwerkingsverantwoordelijke enorm veel schelen. Ook in het geval dat een ziekenhuis bijvoorbeeld gegevens van patiënten wil delen met een universiteit voor onderzoek naar de effectiviteit van een nieuw medicijn, is het zeer wenselijk dat het ziekenhuis de gegevens zodanig bewerkt dat de universiteit de identiteit van een patiënt in ieder geval niet meer kan achterhalen. Hierdoor kunnen deze gegevens vrijer worden gedeeld voor wetenschappelijk onderzoek, zonder dat de strenge regels van de AVG van toepassing zijn.
Contact
Wilt u meer specifiek weten wat deze uitspraak betekent voor uw organisatie of kunt u bijvoorbeeld hulp gebruiken bij het beoordelen van uw gegevensstromen of het aanpassen van uw privacy verklaringen, neem dan contact op met één van onze specialisten.