Pseudonimiseren verduidelijkt: wat houdt het in en wat kan ik met de nieuwe richtsnoeren?

    - / 4 February 2025

    Dit blog is geschreven in januari 2025, voor de afronding van de publieke consultatie.

    Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) is pseudonimisering een algemeen geaccepteerde term in privacyland. Het begrip wordt gedefinieerd als: ‘Het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.’

    De AVG eist dat organisaties passende technische en organisatorische maatregelen nemen om hun persoonsgegevens te beveiligen. Pseudonimisering is een van de passende mogelijkheden. Voor meer informatie over een passend beschermingsniveau refereer ik graag aan dit blog van mijn collega.

    Hoewel pseudonimisering een term is die al geruime tijd bekend is en door privacy experts wordt gebruikt, is het geen afgerond onderwerp voor de European Data Protection Board (EDPB). Tijdens de plenaire vergadering van 16 januari 2025 zijn nieuwe richtsnoeren inzake pseudonimisering vastgesteld en is de definitie en toepasbaarheid van pseudonimisering verduidelijkt. In dit blog leg ik de nieuwe richtsnoeren uit en zoom ik in op de voordelen die in de nieuwe richtsnoeren worden aangestipt.

    De nieuwe richtsnoeren

    Laten we beginnen met de verduidelijking van de term pseudonimisering. De richtsnoeren stellen dat gepseudonimiseerde gegevens die naar een persoon te herleiden zijn door het gebruik van aanvullende informatie nog steeds persoonsgegevens zijn, omdat identificatie van een natuurlijk persoon nog steeds mogelijk is. En deze conclusie is logisch, in beginsel zijn gegevens persoonsgegevens als ze aan een natuurlijk persoon gekoppeld kunnen worden. Direct, of indirect met behulp van andere gegevens, dat maakt hierbij niet uit.

    Verder zorgen de nieuwe richtsnoeren ook voor een verduidelijking van de voordelen die pseudonimisering kan hebben. Pseudonimisering kan beveiligingsrisico’s verminderen en het daarmee eveneens gemakkelijker maken om het gerechtvaardigd belang als rechtsgrond te gebruiken voor de verwerking van persoonsgegevens. Dit komt doordat pseudonimisering de doorgifte van direct identificeerbare gegevens tegenhoudt. Slechts met aanvullende informatie kunnen de persoonsgegevens aan een persoon worden gekoppeld. Dit maakt de privacyinbreuk op betrokkenen kleiner en heeft daarmee een positieve invloed voor de verwerkingsverantwoordelijke op de verplichte belangenafweging bij een eventueel beroep op het gerechtvaardigd belang.

    Daarnaast zorgt pseudonimisering ervoor dat een onbevoegde in het geval van een datalek zonder aanvullende informatie weinig met de gegevens kan. Win, win dus.

    Bescherming van persoonsgegevens

    Zoals eerder al gesteld is pseudonimisering een van de mogelijke maatregelen die genomen kan worden voor het creëren van een passend beschermingsniveau. De richtsnoeren gaan hier ook verder op in. Pseudonimisering kan daarnaast dienen als hoeksteen van privacy by design en privacy by default. Waar privacy by design het meenemen van privacy in het ontwerpproces (als ook daarna) van bijvoorbeeld een nieuwe applicatie, dienst, procedure inhoudt; betreft privacy by default een keuze voor de meest privacyvriendelijke standaardinstellingen (‘we delen standaard zo beperkt mogelijk, zelf kun je kiezen voor meer’).

    Het standaard ‘inbakken’ van pseudonimisering, door bijvoorbeeld encryptie in alle gevallen toe te passen binnen een applicatie, is zo’n voorbeeld van privacy by design. Ook kan het als privacy by design-maatregel toegepast worden door als leverancier van een dienst standaard pseudonimisering aan te bieden voor de gegevens van opdrachtgevers. Alleen op verzoek van de opdrachtgever zelf wordt hiervan afgeweken. Privacyvriendelijke standaardinstellingen dus.

    Doorgifte van persoonsgegevens

    Binnen de EU hebben we niet alleen een vrij verkeer van goederen, maar ook van persoonsgegevens. Veilige doorgifte van persoonsgegevens naar derde partijen buiten de EU is door de AVG alleen toegestaan met aanvullende maatregelen. Pseudonimisering zou een onderdeel van die aanvullende maatregelen kunnen zijn. Je zou bijvoorbeeld gegevens alleen gepseudonimiseerd met partijen uit derde landen kunnen delen, waarbij de sleutel – om de pseudonimisering ongedaan te maken - in de EU blijft. De sleutel wordt uitsluitend gedeeld met bevoegde personen buiten de EU als daar echt noodzaak voor is.

    Een verwerkersverantwoordelijke kan ook besluiten dat er een geheel nieuwe pseudonimisering wordt toegepast op de gegevens die gedeeld moeten worden. Door gegevens op een andere manier te pseudonimiseren voor een doorgifte van persoonsgegevens dan voor gegevens die intern verwerkt worden, wordt de impact van een potentieel datalek ingeperkt. Hierbij wordt voor de externe partij een andere versleuteling toegepast dan intern. Stel dat er bij de externe partij een datalek plaatsvindt, zijn de gedeelde gegevens veilig, mits de sleutel niet ook gelekt wordt.

    Andere voorbeelden van pseudonimisering

    Naast de reeds genoemde voorbeelden van een geslaagde inzet van pseudonimisering worden er in de richtlijn nog verschillende andere voorbeelden genoemd. Via deze weg probeert de EDPB praktische handvaten te bieden die ‘in het echt’ gebruikt kunnen worden. Om het nog inzichtelijker te maken zijn deze voorbeelden ook gekoppeld aan artikelen van de AVG. De onderdelen die hier worden toegelicht zijn:

    • dataminimalisatie;
    • doelbinding;
    • passende beveiliging;
    • juistheid;
    • waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden;
    • beveiliging van de verwerking;
    • gerechtvaardigd belang;
    • verwerking voor een ander doel dan waarvoor de data origineel is verzameld;
    • datadoorgifte;
    • rechtmatigheid, behoorlijkheid en transparantie.

    Deze voorbeelden hebben een duidelijke structuur, met een probleemstelling, de typen data die verwerkt moeten worden en het pseudonimiseringsproces. Bij het opstellen van nieuwe passende organisatorische maatregelen om dataverwerking in te regelen is het dus zeer raadzaam om naar pagina 31 van de richtsnoeren te bladeren en hier een voorbeeld aan te nemen.

    Conclusie

    De nieuwe richtsnoeren van de EDPB op het gebied van pseudonimisering verduidelijken de huidige situatie uit de AVG. Hoewel er niet per se nieuwe informatie wordt gedeeld, worden er wel een aantal minder belichte onderdelen uit het privacylandschap belicht. Daarnaast bieden de richtsnoeren tien duidelijke voorbeelden die door bedrijven of overheidsorganen toegepast kunnen worden in de praktijk. Met name door de toevoeging van deze voorbeelden zijn de richtsnoeren zeer behulpzaam en een welkome toevoeging aan de gereedschapskist van iedere beleidsmaker op het gebied van privacy.

    Wil jij  je specialiseren in privacy en leren hoe je effectief privacybeleid opstelt en implementeert volgens de Algemene verordening gegevensbescherming (AVG)? Volg dan onze opleiding tot Privacy Officer.

    Meer informatie
    Terug naar overzicht

    Friso Demeijer

    Legal Counsel
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Advies
    Professionals inhuren
    Documenten
    Tech/Software
    Ons team
    Vacatures
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram