Het verwerken van persoonsgegevens is onderworpen aan regels uit de Algemene Verordening Gegevensbescherming (AVG). De AVG is echter niet van toepassing op de verwerking van anonieme gegevens. Maar wanneer is een gegeven anoniem (genoeg)? Daarover bestaan in de praktijk regelmatig misverstanden.
Persoonsgegevens
De AVG definieert ‘persoonsgegevens’ als: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Het gaat daarbij om zowel direct als indirect tot een individu herleidbare gegevens. Denk bijvoorbeeld aan NAW- en contactgegevens, maar ook aan rapportages met feitelijke of waarderende informatie over een individu. Bij de verwerking van persoonsgegevens dient rekening te worden gehouden met de regels uit de AVG.
Wanneer de gegevens niet herleidbaar zijn tot een individu, dan is er per definitie geen sprake van een persoonsgegeven. Op de verwerking daarvan is de AVG dan niet van toepassing.
Anonmisering of toch pseudonimisering?
In de praktijk is het echter vaak onduidelijk wanneer gegevens anoniem zijn in de zin van de AVG. De Europese toezichthouder voor de gegevensbescherming (EDPS) publiceerde onlangs tien misverstanden over anonimisering. Ons oog viel daarbij op een belangrijke misvatting die wij ook regelmatig in onze praktijk zien: het onderscheid tussen “pseudonimisering” en “anonimisering”. Regelmatig leeft men ten onrechte in de veronderstelling dat de gegevens zijn geanonimiseerd, terwijl er slechts sprake is van pseudonomisering. Wat is het onderscheid tussen anonimisering en pseudonimisering?
Het anonimiseren van persoonsgegevens is een methode om persoonsgegevens zodanig te bewerken dat deze niet meer gebruikt kunnen worden om een individu te identificeren. De gegevens worden dan ontdaan van alle direct en indirect identificerende kenmerken, waardoor deze op geen enkele wijze meer te herleiden zijn tot een individu. Anonimisering dient onomkeerbaar te zijn.
Pseudonimisering zorgt ervoor dat gegevens niet (direct) herleidbaar zijn tot een individu. Denk bijvoorbeeld aan encryptie. De persoonsgegevens worden dan versleuteld en zijn daardoor niet direct te herleiden tot een individu. De pseudonimiseringsmaatregelen kunnen echter met de juiste “sleutel” weer teruggedraaid worden. Daardoor kunnen deze gegevens weer (terug) herleid worden tot een individu. Pseudonimisering van gegevens is derhalve een omkeerbaar proces. Pseudonimisering is wordt daarom gezien als een maatregel om persoonsgegevens te beveiligen. Ook het gescheiden opslaan van (delen van) de persoonsgegevens, kan bijvoorbeeld een pseudonimiseringsmaatregel zijn.
AVG is wél van toepassing op pseudonieme gegevens
Kortom: de AVG is wél van toepassing op de verwerking van pseudonieme gegevens. De gegevens zijn immers niet anoniem en daarmee herleidbaar tot een persoon, al dan niet indirect. Het is derhalve van belang om heel scherp te hebben of er sprake is van een anoniem of pseudoniem gegeven. Indien men er ten onrechte vanuit gaat dat er geen rekening hoeft te worden gehouden met de AVG omdat er sprake zou zijn van anonieme gegevens, terwijl dat in werkelijkheid gepseudonimiseerde gegevens betreft, dan kan dat mogelijk leiden tot sancties van de Autoriteit Persoonsgegevens en/of schadeclaims.