Is anonimiseren makkelijker dan gedacht?

Met uitspraken van Europese privacytoezichthouders en de EDPB ligt de lat voor anonimisering in de praktijk zeer hoog. Ook de Breyer-uitspraak heeft het begrip 'persoonsgegeven' breed getrokken. Het Gerecht heeft vorige week een uitspraak gedaan die dit wat relativeert: de verstrekker van persoonsgegevens dient te toetsen of de ontvanger de gegevens niet kan herleiden. Wat voor gevolgen heeft dit voor de praktijk?

Wat gebeurde er?

De gemeenschappelijke afwikkelingsraad (‘GAR’) is de instelling die zorgt voor een gecontroleerde afwikkeling bij een dreigend faillissement van banken. In deze zaak gaat het om de afwikkeling van de Spaanse Banco Popular. De GAR neemt een voorlopig besluit voor een mogelijke compensatie van betrokkenen bij deze afwikkeling. Daarvoor doet Deloitte in opdracht van de GAR onderzoek naar de juridische geldigheid van de zienswijze van betrokkenen. De tijdens de inschrijvingsfase verzamelde gegevens, zijn alleen toegankelijk voor de GAR om te bepalen of de deelnemers in aanmerking komen voor het hoorrecht. De opmerkingen zijn via een alfanumerieke code opgeslagen en via een beveiligde server aan Deloitte overgedragen. Slechts de GAR kan de opmerkingen koppelen aan de betrokkenen. Deloitte heeft geen toegang tot die gegevens. 

Er zijn vijf klachten die inhouden dat gegevens in strijd met de privacyverklaring gedeeld zijn met derden, namelijk Deloitte en Banco Santander. De EDPS acht de klachten gegrond en stelt dat de betrokkenen in strijd met het informatierecht niet zijn geïnformeerd over de mogelijkheid dat hun gepseudonimiseerde persoonsgegevens aan Deloitte worden verstrekt. De EDPS oordeelt dat de opmerkingen persoonsgegevens zijn, ondanks dat Deloitte niet over aanvullende informatie beschikt. En stelt dat deze persoonsgegevens zijn, omdat er een alfanumerieke code is en die met Deloitte is gedeeld. De GAR stelt daarentegen dat de gegevens geanonimiseerd zijn en procedeert door. 

Oordeel van het Gerecht

Het Gerecht van de Europese Unie verklaart het verzoek van de GAR met betrekking tot de nietigverklaring van het herziene besluit ontvankelijk. Het stelt vast dat de EDPS in het herziene besluit alle opmerkingen als persoonsgegevens heeft aangemerkt, en in zijn beoordeling zich niet heeft beperkt tot de aan Deloitte doorgezonden informatie. Het Gerecht schetst twee cumulatieve voorwaarden voordat iets een persoonsgegeven kan zijn: (1) informatie dient te zien op een natuurlijke persoon en (2) deze persoon dient identificeerbaar te zijn. Het Gerecht verwijst daarvoor naar de uitspraken Nowak en Breyer. Tevens kijkt het naar overweging 16 van Verordening 2018/1725 (de AVG voor Europese instanties). ‘Iedere informatie’ is volgens de Nowak-uitspraak niet beperkt tot gevoelige of persoonlijke informatie, maar strekt tot zowel objectieve als subjectieve informatie, als het maar ziet op de betrokkene. Het is voldoende dat de informatie inhoudelijk, met als doel of gevolg verbonden is aan betrokkene. De EDPS heeft de informatie niet inhoudelijk onderzocht, en slechts op basis van vermoedens geconstateerd dat de opmerkingen meningen weerspiegelen en daarmee persoonsgegevens zijn. Deze redenering is voor het Gerecht te kort door de bocht. 

De EDPS heeft volgens het Gerecht onterecht geoordeeld dat de gegevens betrekking hebben op identificeerbare natuurlijke personen. De alfanumerieke code die Deloitte in zijn bezit heeft, is niet voldoende om deze personen te identificeren. In overweging 16 van Verordening 2018/1725 wordt ingegaan op de vraag of gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, als gegevens over een identificeerbare natuurlijke persoon moeten worden beschouwd. Om dit te bepalen, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs gebruik gemaakt kan worden om de natuurlijke persoon te identificeren. Alle kosten, tijd en beschikbare technologie spelen daarbij een rol. 

De Breyer-uitspraak is door beide partijen gebruikt om het begrip ‘persoonsgegevens’ in te vullen. Daarin wordt geconstateerd dat een dynamisch IP-adres informatie is die betrekking heeft op een identificeerbare natuurlijke persoon. In die casus beschikte de internetprovider over de noodzakelijke aanvullende identificeerbare gegevens. Voor het zijn van een persoonsgegeven maakt het niet uit wie (de verwerker of de verwerkingsverantwoordelijke) over de extra middelen beschikt om de natuurlijke persoon te kunnen identificeren. De hamvraag is of kan worden aangenomen dat die aanvullende gegevens überhaupt kunnen worden ingezet. Het Gerecht heeft in dit arrest gewezen dat dit niet het geval is als de identificatie van de betrokkene bij de wet verboden of in de praktijk ondoenlijk is. Bijvoorbeeld met het oog op de voorgenoemde vereiste tijd, kosten en mankracht een excessieve inspanning vergt, waardoor het gevaar voor identificatie in werkelijkheid minimaal is. 
 
De alfanumerieke code die Deloitte tot zijn beschikking heeft, volstaat niet om de auteurs van de opmerkingen te identificeren. Alleen de GAR heeft de aanvullende gegevens tot zijn beschikking. De EDPS heeft de identificatiemogelijkheid enkel onderzocht vanuit het oogpunt van de verwerkingsverantwoordelijke, de GAR, en niet vanuit het oogpunt van de verwerker, Deloitte. Het Gerecht oordeelt in lijn met het Breyer-arrest. De EDPS moet onderzoeken of de aanvullende gegevens van de GAR een middel voor Deloitte vormen om de ontvangen informatie te herleiden. Aangezien de EDPS dit niet heeft onderzocht, heeft de EDPS ten onrechte geconcludeerd dat de gegevens gepseudonimiseerde persoonsgegevens zijn. Het Gerecht stelt dat de informatie die aan Deloitte is doorgezonden, geen informatie betreft die betrekking heeft op een identificeerbare natuurlijke persoon. 

Conclusie

Het Gerecht heeft duidelijke taal gesproken. De EDPS dient gedegen onderzoek te verrichten. Informatie dient inhoudelijk te worden beoordeeld alvorens ze een persoonsgegeven kan inhouden. Het enkele bestaan van aanvullende gegevens om natuurlijke personen te identificeren is niet voldoende om te constateren dat een gegeven een persoonsgegeven is. Deze aanvullende gegevens dienen praktisch binnen handbereik te zijn. Indien er geen wettelijke of in de praktijk uitvoerbare middelen beschikbaar zijn om die te gebruiken, kan er geen sprake zijn van een persoonsgegeven. Deze uitspraak is welkom in de praktijk. 

Terug naar overzicht