Een persoonsgegeven is “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Zo staat het in de AVG. Maar dat is slechts het startpunt over de discussie of en hoe iemand identificeerbaar moet zijn. Een recent arrest van het Europese Hof voegt weer een nieuwe dimensie toe aan deze discussie. Spoiler alert: we zijn nog lang niet eruit.
In 2017 ging de Spaanse Banco Popular ten onder, waarna Europa ingreep met een afwikkelingsregeling. Getroffen aandeelhouders en crediteuren konden in die regeling relevante informatie verstrekken, wat vervolgens beoordeeld werd door Deloitte en gedeeld werd met beoogd koper Santander. Een aantal partijen maakten daartegen bezwaar, onder meer omdat dit niet duidelijk vermeld was in de privacyverklaring.
Het verweer luidde dat er helemaal geen persoonsgegevens waren gedeeld, omdat de gegevens enkel aan een alfanumerieke code gekoppeld waren en niet aan namen en adressen van betrokkenen. Meelezende FG’s en privacy officers fronsen nu de wenkbrauwen: dit noemen we toch pseudonimiseren en niet anonimiseren, de gegevens blijven immers herleidbaar zolang je ergens een lijst hebt die die codes vertaalt naar identificerende informatie. En daar hebben ze op zich helemaal gelijk in.
Sinds het Breyer-arrest weten we dat herleidbaarheid (identificeerbaarheid) onder de AVG behoorlijk ver gaat. In die zaak was de vraag of een IP-adres voor een website-aanbieder telt als persoonsgegeven. Dat IP-adres is immers te herleiden tot een persoon, maar je hebt de hulp van de internetprovider nodig, en die krijg je niet zomaar (hoi DFW). Toch is het dan een persoonsgegeven, aldus het Hof van Justitie:
[De term persoonsgegeven] moet aldus worden uitgelegd dat een dynamisch internetprotocoladres dat door een aanbieder van onlinemediadiensten wordt geregistreerd telkens als een persoon een website bezoekt die door deze aanbieder toegankelijk wordt gemaakt voor het publiek, ten aanzien van die aanbieder een persoonsgegeven in de zin van voormelde bepaling vormt, wanneer hij beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust.Die “wettige middelen” moet je breed lezen: als de website-eigenaar via een juridische procedure de gegevens kan opeisen, dan is er een redelijkerwijs beschikbaar en wettig middel en daarmee zijn de IP-adressen dus nu al persoonsgegevens. Oké.
In deze nieuwe uitspraak (zaak T-557/20) werkt het Hof dit nu nader uit: je moet deze analyse doen vanuit het perspectief van de ontvanger van de gegevens, hier dus Deloitte. Dat het in abstracto voor iemand mogelijk is om de identificatie te doen (de code terug te vertalen) is niet genoeg, kon specifiek die ontvanger dit doen met redelijke en wettige middelen? Dit laatste is niet onderzocht, en daarom moet de zaak opnieuw beoordeeld worden. Het antwoord lijkt mij “nee”, want in zo’n relatie is er niet echt een voor de hand liggend middel om de koppeling af te dwingen.
Het gevolg lijkt dus te zijn dat wie zo’n lijst met codes plus gegevens krijgt, en daarbij contractueel verboden is ooit de koppeling terug te maken, de lijst als géén persoonsgegevens te beschouwen. Pseudonimiseren wordt daarmee anonimiseren. Ik zeg ‘lijkt’, want volgens mij is dit niet de bedoeling van de AVG.
De kern van het begrip persoonsgegeven is ‘identificeren’, maar dat is niet hetzelfde als het kunnen koppelen aan een naam of contactgegeven. De definitie zegt immers dat identificatie plaats kan vinden:
… met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;Dat dit moet leiden tot een naam of een ander specifiek element, is niet vereist. “Die meneer op de achterste rij heeft een vraag” is volgens mij evident een persoonsgegeven, net als “bezoeker met cookie THX1138 is duidelijk geïnteresseerd in onze nieuwe cursus”. Het wil er bij mij niet in dat onder deze uitspraak {THX1138;cursus:0.93} géén persoonsgegeven is.
Verder is er natuurlijk het punt dat de rest van de gegevens alsnog genoeg kan zijn om iemand te identificeren. Namen en contactgegevens weglaten is niet perse genoeg om gegevens te anonimiseren. Dus ik reken mezelf niet echt rijk met deze uitspraak.
Arnoud
Het hangt mogelijk ook af van de wijze van pseudonimiseren of de gegevens in de toekomst nog steeds moeilijk herleidbaar zijn.
Een unieke code die een tabel staat opgeslagen met in dezelfde rij de feitelijke persoonsgegevens is iets anders dan de (salted) hash van persoonsgegevens.
Ook na salting blijft een hash een cryptografische methode die met de komst van toekomstige technieken mogelijk te herleiden is naar de feitelijke persoonsgegevens.
Ik denk dat je je niet moet blindstaren op de gebruikte techniek om tot pseudo-identifiers te komen. Kijk naar wat er in de wet staat en het idee erachter: Kun je aan de hand van de pseudonieme gegevens achterhalen bij welke persoon ze horen? Pas als dat praktisch onmogelijk is, dan is de pseudonimisering voldoende. Het CBS publiceert om deze geen gemiddelden over groepen kleiner is dan een handvol personen of huishoudens.
Wanneer je hashing gebruikt moet je heel goed opletten hoe je dat doet. Minder bits in een hash is vaak beter voor de anonimiteit. Velden combineren tot een hash meestal goed.
De hele discussie over persoonsgegevens lijkt toch wel steeds meer een ‘eerste wereld probleem’ te worden als we echt de discussie moeten gaan voeren of ‘die meneer op de achterste rij’ een persoonsgegeven is. Bovendien, privacy is geen absoluut recht en dergelijke discussies gaan m.i. voorbij aan het doel van de privacyregelgeving namelijk gegevens uitwisseling mogelijk te maken door verschillende belangen af te wegen. Alle gegevens die potentieel herleidbaar zijn te bestempelen als persoonsgegeven, maakt uitwisseling onnodig lastig en doet onvoldoende recht aan de andere belangen in de maatschappij. En specifiek ten aanzien van IP adressen, ook al zou het zo zijn dat de ontvanger redelijkerwijs via een juridische procedure tot de identificatie van een natuurlijk persoon zou kunnen komen, dan is bij het dus eventueel winnen van die procedure al duidelijk dat kennelijk een gerechtvaardigd belang bestaat dat zwaarder weegt dan de privacy van betreffend persoon. De belangenafweging vindt dan in de procedure plaats. Dat argument zie ik zelden tot nooit terug.
Ik snap je. Het punt voor mij is dat als gegevens géén persoonsgegevens zijn, je nergens rekening mee hoeft te houden (denk aan trainen van je AI). Dus die pre-check is wel degelijk nuttig. Ik verwerk liever data zonder belangenafweging dan met.
Als je het hebt over AI trainen dan moet ik ChatGPT voor het voetlicht halen die op basis van een naam allerlei weetjes over een persoon naar voren weet te brengen. Zo nodig verzint de AI daar nog een paar leuke weetjes bij. Is dit geen (ongewenste) verwerking van persoonsgegevens?