Wanneer is een gegeven een persoonsgegeven? Maakt het daarbij uit dat je een ander nodig hebt om de identificatie rond te krijgen? Deze vragen leiden al jaren in de AVG-wereld tot felle discussies. Maar nu heeft het Hof van Justitie in het SRB-arrest de knoop doorgehakt; de ‘relativisten’ hebben gewonnen.
De achtergrond van het arrest is simpel genoeg. In 2017 werd de Spaanse Banco Popular Español overgenomen, wat goedkeuring van de Europese Commissie vergde. Na de afwikkeling werd audit- en advieskantoor Deloitte gevraagd om een onderzoek te doen, waarbij ze geanonimiseerde opmerkingen en zienswijzes van betrokkenen kreeg.
Of nou ja, geanonimiseerd: de namen en zo waren vervangen door alfanumerieke codes. Pseudonimiseren, noemt de AVG dat. Voor Deloitte onmogelijk te herleiden, tenzij de verstrekkende partij (de Gemeenschappelijke Afwikkelingsraad, GAR) mee zou werken. En dat maakt uit, want een aantal mensen was geërgerd door deze verstrekking omdat de GAR niet had gezegd dat dit zou gebeuren.
Persoonsgegevens delen zonder informatie is niet toegestaan onder de AVG (hier dan verordening 2018/1725, de “AVG voor Europese instellingen”). Vandaar dat de vraag ontstond: zíjn het eigenlijk wel persoonsgegevens, die lijsten met codes die aan Deloitte waren verstrekt.
Enerzijds: ja, want je kunt ze terug herleiden als je de medewerking van de GAR krijgt. En sinds het Breyer-arrest weten we dat het daarvoor genoeg is dat je “wettige middelen” hebt die met een redelijke inspanning leiden tot de personen. Je kunt de NAW-gegevens achter een IP-adres bij de rechter opeisen, dus IP-adressen zijn persoonsgegevens.
Anderzijds: zijn ze dan altijd persoonsgegevens, of alleen voor de mensen die in staat zijn die herleiding te doen? Het is raar dat voor mij 192.168.3.41 een persoonsgegeven is, omdat stichting BREIN bij de rechter de NAW-gegevens kan opvragen zeg maar.
Het Hof brengt dan ook een belangrijke nuancering aan. Als jij zelf niet in staat bent de pseudonimisering ongedaan te maken, dan zijn de gegevens voor jou geen persoonsgegevens:
Dit veronderstelt echter ten eerste dat Deloitte bij iedere onder haar toezicht verrichte verwerking van [de zienswijzes en opmerkingen van de klanten] geen mogelijkheid heeft om deze maatregelen ongedaan te maken. Ten tweede moeten die maatregelen daadwerkelijk van dien aard zijn dat zij Deloitte ook beletten om diezelfde opmerkingen te koppelen aan de betrokken persoon door gebruik te maken van andere identificatiemiddelen, zoals een vergelijking met andere elementen, zodat de betrokkene voor deze vennootschap niet of niet meer identificeerbaar is.Bij jou ligt dan dus wel de bal om aan te tonen dat je die herleiding niet kunt doen. Ja, dat is een omgekeerde bewijslast, maar omdat de hoofdregel toch al was dat het persoonsgegevens zijn is dat hier wel redelijk.
Het is dus een opsteker voor informatiebeveiliging en efficiënt werken: als je persoonsgegevens goed ontdoet van herleidbare informatie, dan kun je een ander er mee laten werken zonder dat die de hele AVG-rambam over zich heen krijgt. En omdat de bewijslast ligt bij de partij die meent dat de gegevens niet (meer) herleidbaar zijn, is het risico daarmee goed te managen.
Arnoud
Houdt dit dan in dat kentekens geen persoonsgegevens (behalve voor RDW) zijn? BSN’s dan? Tenzij ik aan iedereen de id-kaart vraag is dat gewoon een reeks tekens.
Ik vind het een gevaarlijke uitspraak. Dit zet de deur open voor grootschalige dataverzameling en we zijn 2 datalekken (die allebei niet bij de AP gemeld hoeven te worden) verwijderd van een enorme bak persoonsgegevens in verkeerde handen
Ik zie het juist als positieve stap die investeren in privacy-vriendelijke maatregelen beloont. Het was zo dat als verschillende samenwerkende partijen het maar theoretisch kunnen herleiden het een persoonsgegeven is. Als je dan veel moeite steekt in mooie cryptografische polymorfe pseudoniemen levert dat je niks op omdat je nog steeds onder hetzelfde regime valt, en je dus “net zo goed” de gegevens sec kunt delen als je toch door dezelfde hoepels moet springen.
Heel mooi dus dat voldoende pseudonymisering toepassen ook echt leidt tot daadwerkelijke verlichting van de administratieve druk en daarmee dus een positievere business case krijgt.
Voor wat betreft het specifieke voorbeeld van een IP-adres: 192.168.3.41 is een lokaal IP-adres. Iedere router kan zo’n adres uitdelen dus het kan nooit een persoonsgegeven zijn :P.
Dat klopt niet. 481 is ook maar een getal maar in mijn personeelsadministratie is dat een persoonsgegeven.
Met die redenatie is “meneer de Jong” ook geen persoonsgegeven zonder aanvullende info. Er lopen in Nederland veel mensen rond met deze naam. Ik kan onmogelijk weten welke persoon daarmee bedoeld wordt, zonder aanvullende info zoals initialen, geboortedatum, …?
Dat klopt. Je moet de informatie kunnen herleiden tot een specifieke persoon. Een naam an sich is gewoonlijk te weinig. Maar als je in de context weet welke meneer jij bedoelt, dan ben je er al.
Ik kan in mijn netwerk zien welk apparaat dat IP zou hebben. Dat was het punt dat hij maakte: voor mij is het een persoonsgegeven want ik kan het achterhalen in mijn netwerk. Voor jou niet want jij kunt dat niet.
Op mezelf reagerend: zoals Arnoud schreef, Brein kan bij de rechter de NAW opvragen. Dat kan elke burger toch ook doen? Dan toch een persoonsgegeven? Of pas als je het IP-adres verwerkt met enige intentie om de NAW nu of in de toekomst op te vragen en niet als je het gebruikt als voorbeeld in een blog?
Wat betekent dit voor de standaard webserver logs waarin je per IP-adres kunt zien op welk tijdstip een bepaalde webpagina is opgehaald? Als je IP’s niet kunt herleiden tot personen is er geen probleem… Wanneer je dat wel kan heb je een schat aan informatie over de interesses van een bepaald persoon.
Of kun je aan de AVG ontsnappen door je logfiles niet te analyseren op interesses van personen en alleen te gebruiken om technische problemen (inclusief (pogingen tot) hacks) te analyseren.
Om de NAW ergens van op te vragen op basis van Lycos-Pessers moet ook BREIN een grondslag hebben, dus een redelijk vermoeden van auteursrechtenschending. Zo maar bij een rechter vragen “Hee, mag ik bij Ziggo even de NAW eisen van 203.45.67.89” gaat geen succes hebben. Want dan zou die hele gang naar de rechter geen meerwaarde hebben.
Iedereen is toch in staat via een rechter NAW af te dwingen bij pseudonieme informatie die een ander bezit, mits er een rechtsgrond is? Vraagt het SRB-arrest dan via de omkeerregel dat je kunt aantonen dat er geen rechtsgrond bestaat om via de rechter (Breyer-arrest) de pseudonieme informatie te verrijken met nonieme informatie? Mijn hoofd tolt na deze blogpost.
Vergeef me de mislukte poging tot spitsvondigheid: “Het Nederlandse woord anoniem is afgeleid van het Oudgriekse woord ???????? (an?numos), wat “zonder naam” of “ongenoemd” betekent. Het bestaat uit de Griekse ontkenning ??- (an-), wat “niet” of “zonder” betekent, en ????? (ónoma), wat “naam” betekent. Het woord is later via het Latijn en Frans in het Nederlands terechtgekomen.”
Dit lijkt me wel een ernstige vergissing.
Een van de grote motivaties achter de hele AVG is dat data die ik opsla kan uitlekken, nu of in de toekomst; dat risico op uitlekken is uiteindelijk de reden dat ik niet meer data dien te bewaren dan nodig, dat ik data op enig moment moet weggooien, etc. Maar in het geval dat data uitlekt is het niet meer relevant of het voor mij te traceren is naar een persoon, maar eerder of het voor de persoon die de data in handen krijgt te traceren is. Of die persoon daar wettige middelen voor nodig heeft lijkt me niet eens relevant, het zullen over het algemeen immers niet de personen die zich netjes aan de wet houden zijn die deze data weten te bemachtigen.
Zodra informatie die in handen van anderen niet als persoonsgegeven tellen onder de AVG, dan wordt daarmee meteen de helft van zijn beschermende waarde overboord gezet. Ik denk dat hier een heel duidelijke correctie nodig is.
Ik begrijp het argument over uitlekken in deze niet. Die dataminimalisatie moet in beide gevallen, en het uitlekken van data is ook in beide gevallen ongewenst. Of er wel of niet goed gepseudonimiseerd is, en of er wel of niet sprake is van herleidbaarheid is toch alleen relevant voor de mensen die betrokken zijn bij de uitwisseling en verwerking van die data? Die hebben ofwel te maken met een hele papierprocedure, of ze kunnen goed en zorgvuldig pseudonimiseren en het niet meer herleidbaar maken en dan scheelt dat administratieve lasten. In beide gevallen is de data alleen bedoeld voor de rechtmatige verwerkers en niet voor anderen. Uitlekken door wat voor reden ook is in alle gevallen ongewenst. Als je de aanname doet dat dat toch ooit ergens zal gebeuren, dan lijkt het mij ook nog beter dat de data in elk geval goed en zorgvuldig gepseudonimiseerd is.
Het punt is dat de AVG (en dus dataminimalisatie) niet van toepassing is als het geen persoonsgegevens betreft. Zolang je dus hard kan maken dat jij de data niet kan herleiden tot een persoon mag je verzamelen en graaien wat je wil
Dat denk ik ook. De verstrekker moet wel écht goed z’n best doen om te zorgen dat jij echt goed gepseudonimiseerde gegevens krijgt.
Mmmm er is redelijk wat onderzoek dat het zeer moeilijk, lees quasi onmogelijk, is gegevens anoniem te maken.
Het is dan helemaal quasi onmogelijk om aan te tonen dat het effectief anoniem is.
Ik vind het vonnis een stevige beledig voor Deloitte, als ze zelfs dat niet kunnen terugdraaien.
Nu ben ik wel een voorstander van deftig pseudonimiseren, dat geeft toch een extra laag tegen toevallig kijkende ogen.
Houdt dit dan ook in dat Deloitte bijvoorbeeld die lijst gewoon online zou mogen gooien (dan wel niet al te hard haar best hoeft te doen om die te beveiligen)?
Betekent dat dat als de GAR zijn pseudoniemcoderingstabel laat uitlekken, de gepseudonimiseerde feedback retroactief alsnog persoonsgegevens worden? Want retroactief alsnog beschermingsmaatregelen treffen voor data die al jaren het vinkje “niet gevoelig” hebben is natuurlijk een kansloze zaak.
Dat is m.i. exact de ‘gifpil’ die verstopt zit in dit arrest voor die organisaties waar nu de vlag uitgaat, omdat ze eindelijk af zijn van die vervelende AVG. Op het moment dat er een dataset lekt waarmee je pseudonieme gegevens ineens identificeerbaar worden, heb je inderdaad plotseling wél een bak persoonsgegevens op je servers staan. Dan moet je van de een op de andere dag ineens wel volledig voldoen aan de AVG. Dat is inderdaad verschrikkelijk lastig, maar ja, wat de AVG (en dus de toezichthouder) betreft ben je nu dus wel persoonsgegevens aan het verwerken… Ik denk dat je in de praktijk ook bij pseudonieme gegevens toch beter zoveel mogelijk de normen van de AVG kunt toepassen, omdat je ook na dit arrest lang niet zoveel invloed hebt op de vraag of en wanneer je data pseudoniem is, als het misschien wel lijkt.
Maar hoeveel makkelijker maakt dit het nou voor informatiebeveiliging en efficiënt werken? Ik moet bijvoorbeeld goed uitkijken met IP adressen. Wil ik deze opslaan, dan moet ik daar grondslag/goedkeuring voor hebben. Ik kan immers het IP adres tegen mijn sessie-geschiedenis matchen, en zien welke accounts daar doorgaans mee inloggen.
Wil ik het IP adres aan Google (Analytics) geven, dan kan Google ook goed zien welke mail-accounts daar mee inloggen, en dus de personen herleiden. Mag ik nu het IP adres eerst hashen op een manier die Google niet ongedaan kan maken, en dan pas aan Google geven?
Het is volgens mij helemaal niet zo ingewikkeld, maar de GDPR heeft het met de definitie “persoonsgegeven” erg ingewikkeld gemaakt.
Wat studenten in hun eerste college informatietheorie leren, en ook hoe de technisch-operationele realiteit werkt: bitjes zijn een ruwe grondstof waar je informatie uit kunt destilleren. Met die informatie kun je besluiten nemen. Als de uit de bitjes gedestilleerde informatie over personen gaat zijn er dus risico’s voor die persoon. Die risico’s moet je kenne, en die moet je dan managen, door die bitjes te beschermen tegen ongeautoriseerde toegang (cyber security). En dan moet je ook de persoon over wie het gaat de mogelijkheid geven om rechten uit te oefenen : op correctie, inzage, et cetera. Sofar so good.
En nu de crux mbt deze discussie: in de echte wereld is het volstrekt logisch dat, als jij de bitjes niet aan een persoon kan koppelen maar je kan weten dat een ander dat wel kan, toch moet zorgen dat die ander dat niet zomaar kan, Door die bitjes te nog steeds beschermen tegen ongeautoriseerde toegang. Rechten laten laten uitoefenen dat gaat dan uiteraard niet, want je weet niet wie de persoon is. Logisch toch, en simpel.
Bij dat laatste gaat de GDPR de mist in. Die wil tegen de realiteit in dat je bitjes al dan niet van tevoren labelt als “persoonsgegevens”, en dan wordt het meteen alles of niets: voor jou wel persoonsgegevens, dan security en rechten; voor jou geen persoonsgegevens? dan risico’s, nooit van gehoord dus laat maar waaien die bitjes.
Zou de GDPR onderscheid maken tussen data en informatie, dan hebben we differentiatie in risicobeheersing, en toevallig valt die differentiatie ook samen met “subverwerking” (opslag van bitjes) en weet iedereen veel beter wat die moet doen.
Maar tja zo zit het niet, dus gedoe, rechtszaken, discussies, onzekerheid, duikgedrag, liever niet labelen als persoonsgegeven
My 2 cts.