De Algemene verordening gegevens­bescherming (AVG) is van toepassing op iedere verwerking van persoonsgegevens. Organisaties dienen dus te beoordelen of het persoonsgegevens betreft. Dit kan een lastige opgave zijn. Hoe zit het bijvoorbeeld met pseudonieme en anonieme gegevens? Allereerst is het van belang vast te stellen wat persoonsgegevens zijn: elke informatie die direct of indirect herleidbaar is tot een natuurlijke persoon, zoals namen, adressen, leeftijden of telefoonnummers. De AVG geldt niet voor anonieme gegevens, omdat deze in geen geval aan een persoon kunnen worden gekoppeld. Maar hoe zit het dan met pseudonieme gegevens, waarbij identificerende informatie is vervangen door bijvoorbeeld een code? Zijn die altijd persoonsgegevens? Volgens de Europese privacytoezichthouder wel, maar het Hof van Justitie (hoogste rechter van de EU) denkt hier in haar uitspraak van 4 septem­ber jl. genuanceerder over en verduidelijkt het verschil tussen pseudonieme en anonieme gegevens. Pseudonieme gegevens zijn gegevens die door bepaalde (pseudonimise­rings)maat­regelen zodanig zijn aangepast dat ze niet meer rechtstreeks aan een persoon kunnen worden gekoppeld zonder aanvullende informatie. Denk aan een gemeentelijke dataset waarin namen worden gehasht: elke naam wordt omgezet in unieke wille­keurige tekens. De verstrekker beschikt doorgaans over de ‘sleutel’ om de gehashte gegevens te herleiden. Voor de verstrekker zijn pseudonieme gegevens dus persoons­gegevens. Voor een derde partij kunnen ze anoniem zijn, omdat die de aanvullende informatie niet heeft. Indien de ontvanger echter redelijkerwijs in staat is via andere identificatiemiddelen de gegevens alsnog te koppelen aan een persoon, blijft sprake van persoonsgegevens. Dat is doorgaans niet het geval wanneer identificatie wettelijk verboden is of buitensporig veel tijd en kosten vergt. Op basis hiervan kan nu duidelijker onderscheid worden gemaakt tussen pseudonieme en anonieme gegevens. Er is sprake van anonieme gegevens indien:

• voor de ontvanger geen mogelijkheid bestaat om de pseudonimisering ongedaan te maken; en
• de maatregelen zo effectief zijn dat het onmogelijk is via andere middelen de persoon te herleiden.

Het pseudonimiseren van gegevens ontslaat de ontvanger niet automatisch van AVG-verplichtingen. Dit verandert alleen wanneer de verstrekker maatregelen treft die het voor de ontvanger daadwerkelijk onmogelijk maken om pseudonieme gegevens aan een persoon te koppelen. Beoordeel dus niet alleen wat er wordt gedeeld, maar ook wie de gegevens kan herleiden. De advocaten en juristen van Elferink & Kortier Advocaten schrijven hier regelmatig een column over AVG en informatiebeheer. Heeft u een praktijkvraag die u behandeld wilt zien? Stuur deze naar Od@publiekdenken.nl.