Femmie Schets

In een recente uitspraak van het Hof van Justitie van de Europese Unie (EDPS v GAR) is een belangrijke stap gezet in de discussie over pseudonieme, anonieme en persoonsgegevens. Het Hof bevestigt wat velen in het veld al langer betoogden: gepseudonimiseerde gegevens kunnen onder bepaalde omstandigheden wél persoonsgegevens zijn voor de verstrekker, maar géén persoonsgegevens zijn voor de ontvanger. De kwalificatie van gegevens hangt af van de concrete omstandigheden en de positie van de ontvanger. Deze benadering wordt ook wel aangeduid als de contextuele benadering en speelt een belangrijke rol bij de vraag: is de AVG van toepassing?

Vandaag werd bekend dat er een groot datalek heeft plaatsgevonden bij (onder andere) Bevolkingsonderzoek Nederland. Dit is een instantie in Nederland die belast is het met uitvoeren van bevolkingsonderzoeken naar borstkanker, baarmoederhalskanker en darmkanker. In het kader van deze onderzoeken worden ontzettend veel persoonsgegevens verwerkt, waaronder bijzondere persoonsgegevens (zoals uitslagen van tests) en gevoelige persoonsgegevens (zoals bsn). Nu is gebleken dat gegevens van ongeveer 485.000 Nederlandse vrouwen gestolen zijn via een toeleverancier. Het gaat daarbij onder andere om allerlei soorten persoonsgegevens, zoals adresgegevens, medische gegevens (zoals uitslagen) en burgerservicenummers. Het datalek vond plaats bij het laboratorium dat uitstrijkjes en zelftesten analyseert. Deze gegevens zijn nu dus gestolen en volgens de nieuwsberichten worden deze aangeboden op het dark web. Naar aanleiding van de berichtgeving willen we kort stilstaan bij enkele zaken die opvallen.