Stel: je wilt een enquêteresultaat delen met een andere partij - geen namen of e-mailadressen, alleen referentienummers en antwoorden. Klinkt onschuldig, maar is dat bestand dan geanonimiseerd of slechts gepseudonimiseerd? En belangrijker: moet jij het als verzender nog steeds behandelen als persoonsgegevens met alle compliance-eisen van dien, terwijl de ontvanger er geen persoon in kan herkennen? Het antwoord is minder simpel dan het lijkt - maar na vandaag wél duidelijker.
Eerder schreven wel al over de visie van de Advocaat-Generaal (‘AG’) van het Europese Hof van Justitie (het ‘Hof’) op deze kwestie. Waar dat nog een sneak preview was, is er nu de première: de uitspraak van het Hof zelf. En wat blijkt? Pseudonieme gegevens kunnen voor de ontvanger soms géén persoonsgegevens zijn. Maar dat ontslaat jou als verzender niet van je verantwoordelijkheden als verwerkingsverantwoordelijke.
Let op: de uitspraak ziet op de Verordening over gegevensbescherming voor EU-instellingen en -organen (de ‘Verordening’) en dus niet de Algemene verordening gegevensbescherming (‘AVG’), maar geldt net zo goed als interpretatiekader voor de AVG.
De zaak draait om de afwikkeling van Banco Popular Español in 2017. De Gemeenschappelijke afwikkelingsraad (‘GAR’), organiseerde destijds een consultatie onder aandeelhouders en schuldeisers en stuurde de reacties - in gepseudonimiseerde vorm - door naar Deloitte voor analyse.
Een groep betrokkenen klaagde bij de European Data Protection Supervisor (‘EDPS’): zij waren niet geïnformeerd dat hun gegevens ook bij Deloitte zouden belanden. De EDPS oordeelde dat Deloitte persoonsgegevens had ontvangen en dat de GAR haar informatieplicht had geschonden. De GAR vocht dit besluit aan bij het Gerecht van de Europese Unie (het ‘Gerecht’) en kreeg deels gelijk, omdat de EDPS onvoldoende rekening had gehouden met de context en het perspectief van Deloitte als ontvanger. (Voor meer details over deze eerdere uitspraak van het Gerecht, zie deze blog.
Vandaag is dus de uitspraak van het Hof gepubliceerd over het hogere beroep in deze zaak. Wat direct opvalt bij het lezen van de uitspraak is dat het Gerecht deels gelijk krijgt, maar dat er op andere punten gesteld wordt dat zij het recht verkeerd heeft opgevat.
Het Hof benadrukt dat de meningen van aandeelhouders en schuldeisers direct aan hen zijn verbonden en dus persoonsgegevens vormen. De EDPS hoefde - anders dan het Gerecht vond - de inhoud of het doel van de reacties niet te onderzoeken: het ging duidelijk om persoonlijke visies. Op dit punt krijgt de EDPS gelijk.
De vervolgvraag is of de personen identificeerbaar zijn, want ook dat is essentieel voor de kwalificatie als persoonsgegevens. Het Hof stelt dat pseudonimisering altijd impliceert dat er ergens aanvullende informatie bestaat waarmee koppeling mogelijk is. Daardoor zijn gepseudonimiseerde gegevens niet automatisch anoniem. Wel kan pseudonimisering invloed hebben: zolang de extra informatie apart en beveiligd wordt bewaard, kan het zijn dat de resulterende data voor bepaalde partijen géén persoonsgegevens zijn. Om de vraag in de titel van onze vorige blog dus nog even kort te beantwoorden: Ja! Pseudonieme gegevens hoeven niet altijd persoonsgegevens te zijn.
Voor de GAR zit dit anders: zij beschikte over de aanvullende informatie en kon de meningen aan personen koppelen. Voor haar bleven de gegevens dus persoonsgegevens - weinig verrassend. De crux zat bij Deloitte. Deloitte zou geen toegang hebben gehad tot de sleutel en zou de genomen maatregelen niet kunnen doorbreken. Het Hof benadrukt dat identificeerbaarheid moet worden beoordeeld aan de hand van o.a. redelijke inspanning, kosten, tijd, en stand van de techniek. In dat licht zijn situaties denkbaar waarin gepseudonimiseerde data voor een ontvanger geen persoonsgegevens zijn, en dus bepaalde verplichtingen – zoals informatieplichten – niet gelden. Wel blijft dit contextafhankelijk (zie ook de zaak Breyer). Worden de gegevens in een later stadium doorgestuurd naar een partij die wél kan herleiden, dan zijn het wel weer persoonsgegevens.
Echter, laten we terugkeren naar de kern van de klacht. De klagers stelden dat zij geïnformeerd hadden moeten worden over het verzenden van hun gegevens naar Deloitte en dat de GAR dit had nagelaten. Het ging dus niet om Deloitte’s verplichtingen, maar om die van de GAR - de primaire verwerkingsverantwoordelijke.
Het Hof haalt aan dat de informatieplichten uit artikel 15 van de Verordening al bij het verzamelen van persoonsgegevens ontstaan. Daaronder valt ook de plicht te informeren over de (categorieën van) ontvangers. Die informatie stelt betrokkenen in staat een bewuste keuze te maken of zij hun gegevens willen afstaan. De informatieplicht hoort bij de relatie tussen verantwoordelijke en betrokkene en geldt dus voorafgaand aan een overdracht. Dat wil ook zeggen dat de status van de identificeerbaarheid van de betrokkene dient te worden beoordeeld op het moment van dataverzameling en vanuit het perspectief van de verwerkingsverantwoordelijke. Het Hof benadrukt dat de GAR de betrokkenen op voorhand had moeten informeren over de overdracht, ongeacht of de data voor Deloitte nog persoonsgegevens waren. Het Gerecht oordeelde dan ook verkeerd door dit af te laten hangen van Deloitte’s positie.
De besproken punten zijn interessant – zeker voor (privacy)juristen – maar wat is het effect voor het doorsturen van dit soort databestanden nou concreet in de praktijk? Is alles nu anders? Dat niet meteen. Lees hieronder de belangrijkste take-aways.
Je hoeft niet altijd diep te graven om te zien dat informatie betrekking heeft op een persoon. Bij enquêtes, open velden, of klachtenbrieven geldt vaak: een mening zegt iets over de afzender. Dat maakt dat de informatie persoonsgegevens kan bevatten, maar dan zijn we er nog niet - daarvoor is identificeerbaarheid (zie volgende alinea) óók nodig. Hopelijk beslecht dit nog een aantal discussies tussen juristen, maar dit is een relatief klein punt.
Waar we bij het vorige punt nog zeiden dat je bij meningen al snel te maken kan hebben met persoonsgegevens, is het stukje identificeerbaarheid nog wel van belang. Voor de verantwoordelijke zelf blijven gepseudonimiseerde gegevens doorgaans persoonsgegevens, omdat herleiding meestal mogelijk is. Maar, de data-ontvanger kan ook niet zomaar roepen dat zij de data niet kan herleiden: de juiste maatregelen moeten genomen zijn. De data-ontvanger moet met redelijke inspanning, tijd, kosten, en technieken écht niet alsnog de data kunnen herleiden naar de natuurlijke personen. Als je dat voor elkaar krijgt, staat vast dat je als data-ontvanger geen persoonsgegevens verwerkt. Zorg in zo’n geval dus dat je zeker bent dat de juiste maatregelen genomen worden (pas op met het combineren van datasets!): dan hoef je voor die data niet meteen te voldoen aan de verplichtingen uit de AVG of de Verordening.
Let op: we hebben het hier nu expliciet over ‘ontvangers’ in de zin van de genoemde verordeningen. Het Hof heeft uitdrukkelijk geen uitspraak gedaan over de rol van verwerkers. Als je ten behoeve van de verwerkingsverantwoordelijke de gepseudonimiseerde data verwerkt, lijkt het te kort door de bocht om te zeggen dat je voor deze data niet met de AVG of de Verordening te maken hebt als verwerker!
Dan blijft nog over de informatieplicht richting de betrokkenen. Hierover kunnen we kort zijn: omdat deze ontstaat vanaf het moment van verwerken, dien je als verwerkingsverantwoordelijke (bijvoorbeeld bij je toestemmingsverklaring of privacyverklaring) direct aan te geven dat de persoonsgegevens die je van betrokkenen verwerkt mogelijk doorgestuurd worden naar (categorieën) ontvangers – tenminste als je dat van plan bent. Het maakt niet uit of de data voor de ontvangers geen persoonsgegevens zijn: jij bent de verwerkingsverantwoordelijke en jij gebruikt de persoonsgegevens om (uiteindelijk) te verzenden. Dus moet je de betrokkenen hierover informeren. Doe je dit nog niet? Stel dan vooral je verklaring(en) bij om problemen te voorkomen!
Heb je na dit blog toch nog vragen en wil je meer weten over dit onderwerp? Neem dan gerust contact met ons op!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.