10 september 2025

Digitalisering

Anonimisering

Wat was de aanleiding?

In de afwikkeling van het faillissement van het Spaanse Banco Popular heeft de Gemeenschappelijke Afwikkelingsraad (‘GAR’) opmerkingen van getroffen aandeelhouders en crediteuren onderzocht. De GAR verzocht Deloitte, als onafhankelijk auditkantoor, om ook enkele opmerkingen te beoordelen. De onderzoekers van Deloitte hadden daarbij geen toegang tot de gegevens van de aandeelhouders en crediteuren; enkel tot een unieke alfanumerieke code die aan elke opmerking was toegekend. Deze unieke numerieke code was ontwikkeld voor de auditdoeleinden.

Aandeelhouders en crediteuren hebben vervolgens echter klachten ingediend bij de Europese Toezichthouder voor gegevensbescherming (‘EDPS’). Dit omdat de GAR hen niet had geïnformeerd over de verstrekking van hun persoonsgegevens aan Deloitte. De discussie die volgde draaide niet alleen om de informatieplicht van de GAR, maar (juist) ook om de fundamentele vraag: zijn er überhaupt wel persoonsgegevens aan Deloitte verstrekt of zijn de gegevens door de numerieke code dusdanig gepseudonimiseerd dat de gegevens voor Deloitte anoniem waren?[1]

Pseudoniem of anoniem?

Pseudonimisering betekent dat er maatregelen zijn genomen om te zorgen dat persoonsgegevens niet gemakkelijk meer te herleiden zijn tot een individu. In deze zaak had de GAR opmerkingen van aandeelhouders en crediteuren gedeeld met Deloitte, maar daarbij waren hun gegevens gepseudonimiseerd. Er was een numerieke code aan de opmerkingen toegekend, waardoor Deloitte de gegevens niet kon herleiden tot de individuele aandeelhouders en crediteuren.

Voor de GAR gold dat nog aanvullende gegevens beschikbaar waren waardoor de opmerkingen voor de GAR – ondanks de numerieke code – hun persoonlijke karakter behielden. Deloitte had echter geen toegang tot die aanvullende gegevens.

Het Hof benadrukt in dit arrest (nogmaals) dat het erom gaat of de ontvanger (Deloitte) in redelijkheid de mogelijkheid had om de personen te identificeren. Als identificatie wettelijk verboden is of in de praktijk bijna onmogelijk blijkt – bijvoorbeeld omdat het te veel tijd, geld of personeel kost – hoeft er niet van uit te worden gegaan dat de ontvanger kan identificeren.

Het Hof stelt dan ook vast dat pseudonimisering kan betekenen dat gegevens voor de ontvanger geen persoonsgegevens zijn, ook al blijven zij dat wel voor de verstrekker. Ook het bestaan van aanvullende gegevens – bij een andere partij – aan de hand waarvan de betrokkenen alsnog kunnen worden geïdentificeerd, impliceert niet dat gepseudonimiseerde gegevens dan maar in alle gevallen en voor alle partijen persoonsgegevens zijn.

Wat zijn de voorwaarden voor anonimiseren?

Er dient aldus steeds te worden gekeken naar de context en de concrete omstandigheden van het geval. Het Hof noemt daarbij twee voorwaarden om te kunnen spreken van anonieme gegevens:

  1. de ontvanger beschikt niet over de mogelijkheid om de pseudonimiseringsmaatregelen ongedaan te maken; en

  2. die pseudonimiseringsmaatregelen zijn zo effectief dat de ontvanger de gegevens ook niet met andere middelen opnieuw aan personen kan koppelen. In andere woorden: de ontvanger beschikt niet over juridische of praktische middelen om de gegevens (weer) te kunnen koppelen aan een individu.

    3. Dit sluit ook aan bij de contextuele lijn uit het Breyer-arrest en daarmee verwerpt het Hof de meer absolute lijn van de EDPS en de European Data Protection Board (‘EDPB’), die stellen dat gepseudonimiseerde gegevens altijd persoonsgegevens blijven zolang er ergens aanvullende informatie bestaat. De vrij recente guidelines van de EPDB inzake pseudonimisering zullen aldus in lijn met dit arrest moeten worden aangepast.

    Deze contextuele lijn werd overigens in april 2025 ook al gevolgd door een lagere Nederlandse rechter, waarin de rechter zich uitliet over direct en indirect herleidbare persoonsgegevens. In deze zaak oordeelde de rechtbank dat het voor de ontvanger – de Nederlandse Zorgautoriteit – redelijkerwijs niet mogelijk was de gegevens te herleiden tot individuen. De gegevens waren door hashing gepseudonimiseerd en daarmee versleuteld. De ontvanger kon deze gegevens niet ‘ontsleutelen’. Zij beschikte namelijk niet over de sleutel om de hashing, en daarmee de pseudonimisering, ongedaan te maken. Het was daarom voor de ontvanger technisch gezien niet mogelijk om de versleuteling terug te draaien. Ook had de ontvanger geen wettelijke bevoegdheid om (niet-gepseudonimiseerde) gegevens op te vragen om zo de koppeling te kunnen maken. De rechtbank kwam aldus ook hier tot de conclusie dat de gegevens geen persoonsgegevens waren voor de ontvanger.

    Hoe zit het dan met de informatieplicht?

    Het Hof benadrukt dat de informatieplicht niet kan worden opgelegd aan een entiteit die helemaal niet tot identificatie in staat is. Deloitte was hiervoor dan ook niet de aangewezen partij. Voor de toepassing van de informatieplicht moet de identificeerbaarheid worden beoordeeld op het moment waarop de gegevens worden verzameld.

    Dit betekent dat de GAR al vóórdat de gepseudonimiseerde opmerkingen aan Deloitte werden verstrekt, verplicht was om aan de informatieplicht te voldoen. Het maakt daarbij niet uit of de gegevens voor Deloitte persoonsgegevens zijn. Op het moment dat de gegevens bij de aandeelhouders en crediteuren werden verzameld, had de GAR al informatie moeten verstrekken over eventuele ontvangers, bijvoorbeeld in de privacyverklaring. Daarbij kon ook meteen worden uitgelegd welke maatregelen waren genomen. Zo weten betrokkenen hoe hun gegevens worden beschermd en waar zij hun rechten kunnen uitoefenen.

    Wat betekent dit voor uw praktijk?

    Voor de vraag of de AVG van toepassing is, is het allereerst van belang te weten of sprake is van ‘persoonsgegevens’. Met dit arrest bevestigt het Hof de contextuele benadering. Waar toezichthouders vaak kozen voor de benadering “alles blijft altijd een persoonsgegeven”, creëert het Hof meer ruimte voor maatwerk en meer rechtszekerheid voor organisaties die werken met goede pseudonimisering.

    Van belang is in ieder geval dat uw organisatie per ontvanger analyseert of identificatie redelijkerwijs mogelijk is en documenteer deze afwegingen goed. Pas eventueel uw privacyverklaring(en) hierop aan. Voor de verstrekker blijven immers de AVG-verplichtingen richting de betrokkenen gelden.

Over de auteurs

  • Femmie Schets

    Femmie is sinds 2020 werkzaam bij Holla. Femmie adviseert en procedeert op het gebied van privacy, intellectuele eigendom en ICT, mede in de context van commerciële contracten. Binnen deze expertises focust Femmie zich met name op het privacy- en gegevensbeschermingsrecht, onder meer in de sectoren zorg en welzijn, zakelijke dienstverlening, telecom, de publieke sector en de (internationale) game-industrie. Zij houdt zich bezig met uiteenlopende vraagstukken, zoals het opstellen van privacyverklaringen, verwerkersovereenkomsten en adviezen gerelateerd aan internationale gegevensdoorgiften en datalekken. Daarnaast leidt Femmie Holla’s AI-team.

    Holla Legal & tax

Gerelateerd nieuws

NPD-monitor: partijen missen visie op uitvoerbaarheid beleid en publieke dienstverlening

Het Netwerk van Publieke Dienstverleners (NPD) concludeert in de nieuwste NPD-monitor dat veel politieke partijen in hun verkiezingsprogramma’s te weinig aandacht besteden aan de uitvoerbaarheid en eenvoud van beleid. Volgens het netwerk ontbreekt in tal van programma’s een samenhangende visie op hoe publieke organisaties beleid daadwerkelijk kunnen uitvoeren, en hoe regelgeving begrijpelijk blijft voor burgers.

Strijd tegen cybercrime krijgt mondiale vorm, maar tegen welke prijs?

De Europese Unie heeft aangekondigd de nieuwe VN-Conventie tegen cybercriminaliteit te zullen ondertekenen. Daarmee zet de EU een belangrijke stap in de internationale strijd tegen online misdaad en digitale aanvallen. De conventie – die op 25 oktober 2025 in Hanoi officieel wordt opengesteld voor ondertekening – is het eerste wereldwijde verdrag dat gemeenschappelijke regels vastlegt voor samenwerking, opsporing en bewijsdeling in de cyberwereld.

Data & Privacy

Cyberdreiging groeit, voorbereiding blijft achter: een wake-up call voor het mkb

De cyberweerbaarheid van Nederlandse bedrijven staat onder druk. Uit de meest recente cijfers van het International Business Report (IBR) blijkt dat het aantal significante cyberincidenten in het mkb en de mid-market fors toeneemt. Tegelijkertijd daalt het aantal bedrijven met een structureel cybersecuritybeleid. Lees hieronder de bijdrage van Grant Thornton.

Data & Privacy

Hoe digitale onafhankelijkheid organisaties helpt cyberdreigingen te weerstaan

De afgelopen jaren heeft een groot deel van de Nederlandse bedrijven hun data en bedrijfssoftware ondergebracht bij Amerikaanse Tech-reuzen. Hoewel deze samenwerking vaak innovatie en schaalbaarheid heeft gebracht, groeit de roep om digitale onafhankelijkheid. Politieke spanningen en toenemende cyberdreigingen benadrukken hoe kwetsbaar deze afhankelijkheid kan zijn. Wat betekent dit voor Nederlandse organisaties, en hoe kunnen zij zich voorbereiden op een toekomst waarin digitale soevereiniteit steeds belangrijker wordt? Lees hieronder de antwoorden van Kristian Mepschen, Senior Manager bij BDO.

Data & Privacy

Meer nieuws