Wat is nou precies de grens tussen ‘persoonsgegevens’ en ‘geen persoonsgegevens meer’ wanneer je data van de ene naar de andere partij stuurt? In het bijzonder: waar ligt die grens als je geen namen of e-mailadressen uit je database meestuurt, maar alleen zelfgemaakte referentienummers? Is dat pseudonimiseren? Anonimiseren? Zijn dat dan (nog) persoonsgegevens?
De Algemene verordening gegevensbescherming (‘AVG’) is al ruim 6 jaar in werking getreden, maar over dit vraagstuk is nog steeds geen uitsluitsel. Vandaag geeft de Advocaat-Generaal (‘AG’) van het Europese Hof van Justitie (het ‘Hof’) een sneak preview – maar jammer genoeg niet veel meer dan dat.
Deze discussie is al een aantal jaar een onderwerp van discussie bij de Europese rechters (zie deze uitspraak). Daarbij was de conclusie dat het van belang was of de ontvangende partij de data nog kon herleiden naar natuurlijke personen. Hoe men dit dan had moeten doen en welke factoren van belang waren? Daar zei de rechter destijds weinig (nieuws) over.
Inmiddels zijn we bij de beroepsprocedure beland en nu is dus de visie van de AG gepubliceerd. Wat blijkt? Verrassing! Het hangt ervan af.
De AG stelt dat persoonsgegevens die worden gepseudonimiseerd persoonsgegevens kunnen zijn, maar dat het – in elk geval volgens de wettekst – ook zou kunnen dat dit geen persoonsgegevens meer zijn. Het hangt er volgens de AG vanaf of het risico op (her)identificatie onbestaand of onbeduidend groot is. Zo ja, dan zijn het geen persoonsgegevens meer en is de AVG niet meer van toepassing – in elk geval niet voor de ontvanger als die geen personen uit de data kan identificeren.
Nog een interessante vraag dan: als het wel persoonsgegevens zijn voor de verzendende partij, maar mogelijk niet voor de ontvangende partij, moet de eerste dan informeren aan de betrokkenen over de tweede als ontvanger van persoonsgegevens? De AG zegt kortgezegd dat dat niet de juiste vraag is om te stellen. Wat van belang was, is dat de verzender aan de betrokkenen liet weten dat deze hun informatie ging pseudonimiseren om deze te kunnen verzenden naar de ontvangende partij. Die verplichting ontstond voor het verzenden en daar had de verzender dus aan moeten voldoen
De AG besluit met de aanbeveling dat deze zaak wordt terugverwezen naar de EU-rechter in eerste aanleg.
Belangrijke voetnoot: het Hof kan nog anders beslissen. De AG adviseert het Hof, maar deze beslist hierna nog zelf en het Hof volgt de AG vaak, maar niet altijd.
Krijgen we binnenkort dus een definitief antwoord? Het lijk ons voor de volgende ‘verjaardag’ van de AVG in mei wel een leuk cadeautje in elk geval, maar goede kans dat het Hof deze vraag inderdaad weer teruglegt bij de rechter in eerste aanleg.
Lees de hele conclusie van de AG hier.
.jpg)
