Arresten van het Hof van Justitie van de Europese Unie (HvJEU) en de EDPB Guidelines
De European Data Protection Board (EDPB) heeft recent de concept guidelines on pseudonymisation (01/2025) gepubliceerd. In dit nieuwsbericht analyseren we eerdere arresten over pseudonimiseren versus anonimiseren en vergelijken we deze met de nieuwe Guideline.
EDPB Guidelines strenger dan het HvJEU?
Bij de analyse van de arresten van het HvJEU en de EDPB guidelines valt op dat de EDPB nog niet meegaat in de concretere (norm)uitleg van anonieme versus pseudonieme gegevens. Het HvJEU deed uitspraak in het Breyer-arrest (C-582/14) en het EDPS vs. SAG/Deloitte-arrest (T-557/20), waarvan het hoger beroep nog loopt. Het HvJEU legt – bij de beoordeling of gepseudonimiseerde gegevens anoniem zijn – de nadruk op de middelen die voor de ontvanger van de gepseudonimiseerde data redelijkerwijs en praktisch beschikbaar zijn om te kunnen herleiden. De Privacy Company gaf reeds een heldere analyse van de afwegingen in dit arrest omtrent gepseudonimiseerde data. De EDPB lijkt echter strengere eisen te stellen en dit creëert een hogere drempel.
De visie van de EDPB
De EDPB stelt dat voor de beoordeling gekeken moet worden naar de middelen die redelijkerwijs door de verwerkingsverantwoordelijke of een andere persoon gebruikt kunnen worden. Zelfs als alle informatie die door de pseudonimiserende verantwoordelijke wordt bewaard is gewist, zijn de gepseudonimiseerde gegevens niet per definitie anoniem. Opvallend is dat de EDPB geen nadruk legt op wettelijke en praktische middelen en de positie van de ontvanger.
Wat betekent dit in de praktijk?
Met de publicatie van nieuwe concept guidelines dreigt de EDPB een onwenselijke situatie te creëren. Het verschil in uitleg door toezichthouders en rechtspraak met betrekking tot het al dan niet anoniem verwerken van gepseudonimiseerde gegevens kan leiden tot rechtsonzekerheid. Is de ontvangen data nu anoniem of niet? Moeten zij voldoen aan de eisen van de Algemene Verordening Gegevensbescherming? Ook ontstaat er onduidelijkheid voor betrokkenen over wanneer en waar zij hun rechten kunnen uitoefenen.
ZorgTTP biedt een oplossing
In de situatie van SAG/Deloitte had, zelfs met de striktere eisen van de guidelines, de onomkeerbare pseudonimisatiedienstverlening van ZorgTTP kunnen zorgen voor een anonieme dataset. ZorgTTP levert onomkeerbare pseudoniemen. De kracht van deze pseudoniemen is dat er geen weg terug is naar de oorspronkelijke input. Door afspraken te maken over het verwijderen van het sleutelmateriaal waarmee het pseudonimisatiedomein is aangemaakt kan de weg terug naar de identificerende gegevens aantoonbaar onmogelijk worden gemaakt.
Het arrest benadrukt overigens de noodzaak voor SAG om terug te kunnen naar de identiteit na het advies van Deloitte voor auditdoeleinden. Dit was echter niet nodig geweest met een goed vastgelegde audittrail. Door de dubbele en onomkeerbare pseudonimisatie door ZorgTTP was identificatie onmogelijk geweest.
De visie van ZorgTTP
ZorgTTP benadrukt dat voorzichtigheid geboden is bij het bestempelen van een dataset als ‘anoniem’. De anonimiteit van een dataset wordt niet alleen bepaald door de kracht van de pseudoniemen. Het is ook zaak om naar de overige verwerkte gegevens te kijken. Juist voor die gegevens is het in de praktijk heel lastig om ze zodanig te verwerken dat ze enerzijds bruikbaar blijven en anderzijds niet herleidbaarheid zijn. Indirecte identificatie van een betrokkene kan dan niet worden uitgesloten. Een pseudoniem maakt de dataset niet automatisch anoniem; dit hangt af van de omstandigheden van het geval.
Heeft u vragen over versleutelen, pseudonimiseren of anonimiseren passend bij uw privacyvraagstuk? Onze adviseurs helpen u graag verder