Ontslaat het pseudonimiseren van gegevens mijn onderneming van de verplichtingen op grond van de AVG?

Het blijft een uitdaging: welke gegevens worden aangemerkt als persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG)? Onlangs boog de Rechtbank Midden-Nederland zich over dit vraagstuk, specifiek met betrekking tot de zogenoemde HoNOS+-gegevens. Deze gegevens zeggen iets over de geestelijke en sociale toestand van cliënten. Het oordeel van de rechtbank? Deze gegevens zijn géén persoonsgegevens, waarom niet? Lees hieronder de blog van advocaat bij Elferink & Kortier Advocaten, Tom Boitelle.

1 september 2025

Gezondheidsgegevens

Privacy

Wanneer zijn gegevens ‘persoonsgegevens’ volgens de AVG?

De AVG is van toepassing op de verwerking van persoonsgegevens. Het verzamelen van persoonsgegevens kan voor veel ondernemingen kansen bieden en dus waardevol zijn. Als een onderneming persoonsgegevens verzamelt gelden de regels van de AVG. Wat is precies een persoonsgegeven? Kortgezegd is iets een persoonsgegeven indien het direct of indirect te herleiden is naar een persoon. Te denken valt dan bijvoorbeeld aan:

NAW;
leeftijd; of
telefoonnummer.

Ook gepseudonimiseerde gegevens kunnen onder de AVG vallen, waarover later meer. Anonieme gegevens vallen daarentegen niet onder de AVG. Anonieme gegevens zijn namelijk niet te herleiden naar een persoon. In de praktijk is het echter vaak onduidelijk wanneer gegevens anoniem zijn in de zin van de AVG. Lees hier een door ons geschreven verduidelijking hierover.

De zaak: HoNoS+-gegevens opgevraagd (verwerkt) door NZa

HoNOS, oftewel Health of the Nation Outcome Scales, is een meetinstrument waarmee behandelaars de psychische gezondheid en het dagelijks functioneren van cliënten met psychische klachten meten. Het gaat om een vragenlijst die door de professionals zelf wordt ingevuld, en gaat over verschillende aspecten van het functioneren, zoals psychische symptomen, gedrag, beperkingen en sociaal functioneren.

In 2023 mochten deze gegevens eenmalig worden opgevraagd door de Nederlandse Zorgautoriteit (NZa), en waren behandelaren verplicht deze te verstrekken. Dit diende ter ondersteuning van het zorgprestatiemodel, dat helpt bij het voorspellen van de zorgzwaarte en de GGZ-wachtlijsten te verkorten.

Standpunt: HoNOS+-gegevens zijn persoonsgegevens dus er moet voldaan worden aan de AVG

De eisers in deze collectieve zaak (ook wel ‘WAMCA’-zaak genoemd) waren van mening dat de HoNOS+-gegevens persoonsgegevens zijn. Verwerking van deze gegevens moet dus aan de regels van de AVG voldoen en hiervan was volgens de eisers geen sprake.

De eisers vroegen de rechter om te verklaren dat de betreffende regeling strijdig is met het recht en zij stelden dat er onrechtmatig zou zijn gehandeld jegens zowel de cliënten in de geestelijke gezondheidszorg als de betrokken GGZ-behandelaren. Daarnaast wilden zij een verbod om deze gegevens in de toekomst nog te verzamelen of verwerken, en vorderden zij dat eerder verzamelde gegevens worden vernietigd.

De NZa, de gedaagde partij, betwistte dat zij in strijd met het recht handelde.

Rechter oordeelt: geen persoonsgegevens!

De rechter boog zich over de vraag of de gegevens in kwestie als ‘persoonsgegevens’ in de zin van de AVG konden worden beschouwd. Artikel 4 AVG geeft de definitie van het begrip: het gaat om alle informatie over geïdentificeerde of identificeerbare personen. De rechter verduidelijkt:

Het gaat niet alleen om direct, maar ook om indirect herleidbare gegevens.
Dat omvat ook gepseudonimiseerde data die in combinatie met beschikbare aanvullende informatie alsnog tot identificatie kunnen leiden.

De rechter concludeert dat daarvan geen sprake is. De HoNOS+-gegevens waren volgens de rechter namelijk volledig geanonimiseerd. Vervolgens keek de rechter of de anonieme gegevens (de HoNOS+-gegevens) in combinatie met gepseudonimiseerde gegevens indirect herleidbare gegevens zijn. NWA had namelijk de beschikking over gepseudonimiseerde declaratiegegevens. De rechter oordeelt dat het met de anonieme gegevens in combinatie met reeds beschikbare data ook zeer onwaarschijnlijk is dat de NZa daadwerkelijk personen zou kunnen identificeren. De rechter verklaarde daarom de AVG niet van toepassing, de privacy van de cliënten zou geen gevaar lopen.

Verklein het risico op boetes door up-to-date te blijven met de geldende privacywetgeving

Wanneer heeft u te maken met persoonsgegevens en hoe herkent u deze? Welke regels gelden wanneer de AVG van toepassing is? De AVG blijft een complex speelveld. Het is daarom essentieel dat u voldoende geïnformeerd bent en zodoende in staat bent te handelen in overeenstemming met de geldende wet- en regelgeving. De Autoriteit Persoonsgegevens kan namelijk fikse boetes opleggen aan bedrijven die niet conform de AVG handelen.

Uitspraak van de Rechtbank: ECLI:NL:RBMNE:2025:1760.

Lees hier de originele versie van het artikel op de website van Elferink & Kortier Advocaten.

Over de auteurs

Tom Boitelle

Tom is advocaat bij Elferink & Kortier Advocaten. Hij adviseert en procedeert in zaken op het gebied van IE, ICT- en Privacy-recht.

Gerelateerd nieuws

NIS2: risicoanalyse van eigen organisatie helpt om grip te krijgen op leveranciersmanagement

27 augustus 2025

De Europese NIS2-richtlijn heeft als doel de digitale weerbaarheid van organisaties én hun toeleveranciers te versterken. Dat betekent dat bedrijven niet alleen hun eigen cyberrisico’s moeten begrijpen, maar ook die van hun toeleveranciers. Dit roept bij veel organisaties een belangrijke vraag op: wat betekent dit nu voor ons leveranciersmanagement?

Data & Privacy

Wetsvoorstel: meer bevoegdheden voor burgemeester bij online ordeverstoring

26 augustus 2025

Op 4 juli is een wetsvoorstel in consultatie gebracht dat twee nieuwe bevoegdheden aan de burgemeesters toekent. Hiermee kan de politie onder zijn gezag persoonsgegevens uit publiek toegankelijke bronnen vergaren over de dreiging van een ernstige verstoring van de openbare orde. Het doel van het wetsvoorstel is dat de burgemeester en de politie meer zicht krijgen op ernstige verstoringen van de openbare orde en zij op basis daarvan adequater maatregelen kunnen treffen om deze te voorkomen, beletten of te beëindigen.

Data & Privacy

Wat leren we van het datalek bij Bevolkingsonderzoek Nederland

19 augustus 2025

Vandaag werd bekend dat er een groot datalek heeft plaatsgevonden bij (onder andere) Bevolkingsonderzoek Nederland. Dit is een instantie in Nederland die belast is het met uitvoeren van bevolkingsonderzoeken naar borstkanker, baarmoederhalskanker en darmkanker. In het kader van deze onderzoeken worden ontzettend veel persoonsgegevens verwerkt, waaronder bijzondere persoonsgegevens (zoals uitslagen van tests) en gevoelige persoonsgegevens (zoals bsn). Nu is gebleken dat gegevens van ongeveer 485.000 Nederlandse vrouwen gestolen zijn via een toeleverancier. Het gaat daarbij onder andere om allerlei soorten persoonsgegevens, zoals adresgegevens, medische gegevens (zoals uitslagen) en burgerservicenummers. Het datalek vond plaats bij het laboratorium dat uitstrijkjes en zelftesten analyseert. Deze gegevens zijn nu dus gestolen en volgens de nieuwsberichten worden deze aangeboden op het dark web. Naar aanleiding van de berichtgeving willen we kort stilstaan bij enkele zaken die opvallen.

Data & Privacy

De Cyberbeveiligingswet: nieuw juridisch fundament voor digitale weerbaarheid

15 augustus 2025

De hack op het Openbaar Ministerie, in juni 2025, toont opnieuw aan hoe kwetsbaar maatschappelijk belangrijke organisaties zijn voor cyberaanvallen. Een dergelijk incident benadrukt daarmee nogmaals de noodzaak voor deze organisaties om hun informatievoorziening goed te organiseren en te beveiligen.

Data & Privacy

Meer nieuws