Wanneer is gepseudonimiseerde data nog steeds een persoonsgegeven? (Everest)

Auteur: Joris Deene (Everest)

Het doorgeven van data nadat identificerende kenmerken zoals een naam zijn verwijderd, is een dagelijkse praktijk. Maar wanneer wordt deze ‘gepseudonimiseerde’ informatie nog steeds beschouwd als een persoonsgegeven onder de Algemene Verordening Gegevensbescherming (AVG)? In een arrest van 4 september 2025 (C-413/23 P) heeft het Europees Hof van Justitie hierover duidelijkheid geschept. De conclusie is genuanceerd: hoewel data voor de ontvanger anoniem kunnen zijn, blijft de oorspronkelijke partij die de data verzamelde (de verwerkingsverantwoordelijke) gebonden aan de transparantieverplichting en moet zij de betrokkene informeren over de doorgifte.

De feiten: de zaak EDPS t. SRB

De zaak draaide om de afwikkeling van de Spaanse bank Banco Popular. De Europese Single Resolution Board (SRB), de centrale afwikkelingsautoriteit binnen de bankenunie, verzamelde in dit kader opmerkingen van aandeelhouders en schuldeisers. Om deze opmerkingen te laten analyseren, stuurde de SRB ze door naar de consultant Deloitte.

Cruciaal hierbij is dat de SRB de data had gepseudonimiseerd: de namen van de personen werden vervangen door een unieke alfanumerieke code. Enkel de SRB bezat de sleutel om deze code opnieuw te linken aan een specifieke persoon. Deloitte kon de identiteit van de auteurs dus niet achterhalen. Enkele aandeelhouders dienden hierover een klacht in bij de European Data Protection Supervisor (EDPS), de Europese privacytoezichthouder. Hun argument: zij waren nooit geïnformeerd dat hun opmerkingen met een derde partij zoals Deloitte gedeeld zouden worden.

De EDPS gaf de klagers gelijk en oordeelde dat de SRB haar informatieplicht had geschonden. Het Gerecht van de EU vernietigde deze beslissing echter, waarna de zaak voor het Hof van Justitie kwam.

De beslissing van het Hof van Justitie

Het Hof van Justitie vernietigde het arrest van het Gerecht en stelde de EDPS grotendeels in het gelijk, zij het op basis van een zeer genuanceerde redenering. Het arrest valt uiteen in drie kernpunten:

1. Een persoonlijke mening is een persoonsgegeven: Het Hof stelt ondubbelzinnig dat persoonlijke meningen of standpunten, als expressie van iemands gedachten, onlosmakelijk verbonden zijn met die persoon. Een analyse van de inhoud, het doel of het effect is niet nodig om te besluiten dat dergelijke informatie “betrekking heeft op” een natuurlijke persoon.
2. Het begrip “persoonsgegeven” is relatief: Het Hof bevestigt dat gepseudonimiseerde data niet in alle gevallen en voor iedereen als persoonsgegevens moeten worden beschouwd. Of data identificeerbaar zijn, hangt af van de context en de middelen waarover een partij beschikt. Het is dus perfect mogelijk dat data voor de ontvanger (Deloitte) geen persoonsgegevens zijn, omdat zij niet over de middelen beschikt om de betrokkenen te identificeren, terwijl diezelfde data voor de verzender (SRB) wél persoonsgegevens blijven.
3. De informatieplicht wordt beoordeeld vanuit de verwerkingsverantwoordelijke: Dit is de kern van het arrest. De verplichting om een betrokkene te informeren (onder meer over de ontvangers van zijn data) ontstaat op het moment van de verzameling van de gegevens. Om te beoordelen of aan deze plicht is voldaan, moet men zich plaatsen in het perspectief van de verwerkingsverantwoordelijke (de SRB) op dat ogenblik. Aangezien de SRB de data kon herleiden tot de individuen, waren het voor de SRB persoonsgegevens. De SRB had de betrokkenen dus moeten informeren over de mogelijke doorgifte aan Deloitte, ongeacht of de data voor Deloitte al dan niet identificeerbaar waren.

Juridische analyse en duiding

Deze uitspraak brengt duidelijkheid in een langlopend debat met twee tegengestelde visies op het begrip persoonsgegevens: de absolute en de relatieve benadering. Volgens de absolute visie blijven data persoonsgegevens zolang heridentificatie theoretisch mogelijk is, ongeacht wie de data in handen heeft. De relatieve of contextuele benadering stelt daarentegen dat de kwalificatie afhangt van de specifieke partij die de data bezit en diens redelijke mogelijkheid om de persoon te identificeren.

In dit arrest kiest het Hof van Justitie ondubbelzinnig voor de relatieve of contextuele benadering, die al werd aangevat in het Breyer-arrest. Data zijn geen persoonsgegevens in abstracto; de kwalificatie hangt af van de vraag of een specifieke partij (de houder of ontvanger) beschikt over middelen waarvan redelijkerwijs te verwachten valt dat zij hiermee een persoon kunnen identificeren. Het Hof stelt duidelijk dat “…gepseudonimiseerde gegevens niet in alle gevallen en voor eenieder mogen worden beschouwd als persoonsgegevens …“. Het Hof gaat hier dus rechtstreeks tegenin, wat een belangrijke overwinning is voor datagedreven sectoren zoals wetenschappelijk onderzoek en AI-ontwikkeling

Tegelijkertijd plaatst het Hof hier een fundamentele kanttekening bij. De principes van transparantie en de verantwoordingsplicht van de oorspronkelijke verwerkingsverantwoordelijke wegen zwaarder door op het moment van de dataverzameling. De verplichting uit artikel 15 van Verordening 2018/1725 (het equivalent van artikel 13 en 14 AVG) is er net om de betrokkene in staat te stellen een geïnformeerde beslissing te nemen over het al dan niet verstrekken van zijn gegevens. Het Hof oordeelt daarom dat de identificeerbaarheid voor deze specifieke verplichting moet worden beoordeeld vanuit het standpunt van de verwerkingsverantwoordelijk op het moment van de verzameling.

De redenering van het Hof is dus tweeledig: het concept is relatief, maar de verplichtingen van de verwerkingsverantwoordelijke zijn dat niet. De verwerkingsverantwoordelijke kan zich niet verschuilen achter de technische maatregelen van pseudonimisering om zijn eigen fundamentele transparantieverplichtingen te omzeilen.

Wat dit concreet betekent

• Voor de verwerkingsverantwoordelijke (uw organisatie):
  • Transparantie is cruciaal: Zelfs als u data pseudonimiseert voor doorgifte, moet u de betrokkenen (klanten, werknemers, etc.) van bij de aanvang informeren over de categorieën van ontvangers met wie de data gedeeld kunnen worden. Uw gegevensbeschermingsverklaring moet dit expliciet vermelden.
  • U blijft verantwoordelijk: Het feit dat de ontvanger de data niet kan herleiden, ontslaat u niet van uw plichten onder de AVG voor de data die u zelf bewaart. Voor u blijven het persoonsgegevens.
• Voor de ontvanger van de data (bv. een consultant, onderzoeker):
  • Analyseer uw positie: Als u gepseudonimiseerde data ontvangt en u heeft contractueel en technisch geen enkele redelijke mogelijkheid om de identiteit van de personen te achterhalen, dan verwerkt u mogelijk geen persoonsgegevens.
  • Vermijd heridentificatie: U moet er alles aan doen om heridentificatie te voorkomen. Het combineren van de ontvangen dataset met andere informatie waarover u beschikt, kan de data alsnog tot persoonsgegevens maken voor u.
• Voor de betrokkene (de burger):
  • Versterkt recht op informatie: Dit arrest bevestigt dat u het recht heeft om vooraf te weten wie uw gegevens potentieel zal ontvangen, zelfs als uw naam wordt verwijderd. Een organisatie mag uw meningen of feedback niet zomaar doorgeven zonder u hierover te informeren.

FAQ (Veelgestelde vragen)

Wat is het verschil tussen pseudonimisering en anonimisering?

Pseudonimisering vervangt identificeerbare gegevens door een pseudoniem (bv. een code). Heridentificatie blijft mogelijk met aanvullende informatie (de ‘sleutel’). Bij anonimisering wordt de data zo bewerkt dat de persoon onherroepelijk niet meer identificeerbaar is. Anonieme data vallen buiten de AVG, gepseudonimiseerde data in principe niet.

Is een persoonlijke mening altijd een persoonsgegeven?

Ja. Het Hof van Justitie bevestigt dat een mening of standpunt onlosmakelijk verbonden is met de persoon die deze uit. Zodra de auteur van de mening identificeerbaar is (al is het maar voor de partij die de mening verzamelt), wordt de mening zelf als een persoonsgegeven beschouwd.

Mag ik nu nog gepseudonimiseerde data doorgeven?

Ja, maar u moet dit op een transparante manier doen. De kern van het arrest is niet dat de doorgifte verboden is, maar dat de SRB de betrokkenen hierover vooraf had moeten informeren in haar gegevensbeschermingsverklaring. Zorg er dus voor dat uw gegevensbeschermingsbeleid duidelijk vermeldt aan welke types van derden u data (ook gepseudonimiseerd) kan doorgeven.

Maakt het uit of de ontvanger van de data een ‘verwerker’ is?

Ja, dat is een essentieel onderscheid dat dit arrest openlaat. De uitspraak betrof een ontvanger die als een aparte ‘verwerkingsverantwoordelijke’ werd beschouwd. Indien de ontvanger een ‘verwerker’ is die louter in opdracht van de verwerkingsverantwoordelijke handelt, wordt deze doorgaans gezien als diens verlengstuk. In dat geval blijven de data binnen de controlesfeer van de verwerkingsverantwoordelijke en worden ze in de hele keten als persoonsgegevens behandeld.

Conclusie

Het arrest EDPS t. SRB brengt de broodnodige nuance in het debat over pseudonimisering. Het bevestigt de contextuele aard van het begrip ‘persoonsgegeven’, wat ruimte biedt voor innovatie en data-uitwisseling. Tegelijkertijd trekt het een duidelijke rode lijn: de fundamentele plicht tot transparantie van de verwerkingsverantwoordelijke is absoluut en kan niet worden uitgehold door technische kunstgrepen. Voor organisaties is de boodschap helder: wees vanaf het begin duidelijk over wat u met data doet, zelfs als u ze later pseudonimiseerd doorgeeft.

Bron: Everest