Wanneer zijn data geanonimiseerd en hoef je geen rekening te houden met de AVG?

De AVG gaat over de omgang met en de bescherming van persoonsgegevens, maar wat precies geldt als persóónsgegevens is lang niet altijd duidelijk. Een aantal gerechtelijke uitspraken bieden meer helderheid en regels om dit te toetsen.

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) in 2018 is de focus op bescherming van persoonsgegevens zowel in de maatschappij als in het bedrijfsleven sterk gegroeid. Een belangrijk vraagstuk in de datagedreven marketingsector is daarbij vaak: ben ik bezig met persóónsgegevens? Als dat namelijk niet het geval is betekent dat dat personen niet te herleiden zijn en je geen rekening hoeft te houden met de regels uit de AVG. Na vijf jaar AVG en relevante ontwikkelingen rond dit vraagstuk is het daarom tijd voor een statusupdate: wanneer zijn data geanonimiseerd en dus géén persoonsgegevens?

In dit artikel gaan we in op de volgende punten:

• De AVG is uitsluitend van toepassing op persoonsgegevens
• Wat zijn (geanonimiseerde) persoonsgegevens?
• Voorbeeld: de Breyer-zaak
• De GAR-zaak, een verkeerde interpretatie van de Breyer-toetsing
• Wat betekent dit voor de praktijk?

De AVG is uitsluitend van toepassing op persoonsgegevens

De regels van de AVG zijn enkel van toepassing op gegevens die je kunt kwalificeren als persoongegevens. Dat betekent dat wanneer het niet om persoonsgegevens gaat, je geen rekening hoeft te houden met de AVG-beginselen en (administratieve) verplichtingen. Denk daarbij aan het vragen van toestemming, het informeren over het gebruik van de gegevens in een privacyverklaring, het sluiten van verwerkersovereenkomsten, het bijhouden van een verwerkingenregister óf het uitvoeren van een complex Data Privacy Impact Assessment (DPIA).

Om deze verplichtingen en eventuele boetes uit te sluiten, zijn veel bedrijven (waaronder big tech) aan het onderzoeken of er alternatieve oplossingen bestaan. Denk daarbij bijvoorbeeld aan clean rooms of Privacy Enhancing Techniques (PET’s). Daarnaast is er ook een voordeel vanuit ethisch oogpunt: er is een betere privacybescherming als je gegevens anoniem verwerkt.

Wat zijn geanonimiseerde persoonsgegevens?

Toch zien we vaak nog veel verwarring over de terminologie rondom persoonsgegevens. Zo wordt bij het gebruik van standaard versleutelingstechnieken (zoals hashing) vaak gesproken van ‘anonimiseren’, terwijl het hier vanuit juridisch perspectief even goed kan gaan om pseudonimiseren, waardoor je wél te maken hebt met AVG-regels Om de verwarring weg te kunnen nemen, speelt de definitie van persoonsgegevens in de AVG een belangrijke rol. Deze bestaat uit de volgende 4-stapstoets, waarbij het gaat om “alle informatie over een geïdentificeerd of identificeerbaar natuurlijk persoon”:

• alle informatie’– gegevens waar betekenis aan zit zoals een telefoonnummer, huisadres of IP-adres;
• over – de informatie zegt wat over iemand;
• een geïdentificeerde of identificeerbaar – het direct of indirect kunnen herleiden naar een individu, iemand specifiek kunnen aanwijzen;
• natuurlijk persoon – gegevens van een levend persoon, dus bijvoorbeeld niet van bedrijven.

Als één van deze stappen niet aanwezig is gaat het om anonieme gegevens. Dit bevestigt de AVG zelf ook:

“De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.”

Een belangrijke voorwaarde die we hier teruglezen, is dat de persoonsgegevens zodanig zijn aangepast dat deze het niet meer mogelijk maken om een individu direct of indirect te identificeren.

Directe en indirecte erleidbaarheid

Let wel op: omdat het in eerste instantie wél om persoonsgegevens gaat is de AVG wél van toepassing. Maar wanneer je de gegevens vervolgens aanpast, hoef je bij het verdere gebruik geen rekening meer te houden met de AVG-regels.

Directe herleidbaarheid is goed te begrijpen: dit gaat om gegevens die gelijk gekoppeld kunnen worden aan een individu, zoals een naam of een e-mailadres. Het begrip ‘indirect’ is daarentegen wat complexer. Hierbij gaat het om gegevens die met behulp van andere beschikbare gegevens toch indirect tot een individu kunnen leiden. Denk daarbij bijvoorbeeld aan je BSN-nummer of een kenteken. Zonder aanvullende informatie kun je er niet zo veel mee, maar met de juiste middelen wel. Daarbij moet volgens de AVG rekening worden gehouden met “alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt”.

Je kunt je vast voorstellen dat het al een aantal jaar onduidelijk is wat binnen deze “redelijke verwachting” valt. Bij hashing-technieken worden persoonsgegevens aangepast naar een willekeurige reeks tekens, waardoor de gegevens niet meer direct te herleiden zijn naar een natuurlijk persoon. Maar wanneer je over de sleutel beschikt, kun je deze tekenreeks weer omzetten in persoonsgegevens en zijn ze dus indirect toch herleidbaar. In dat geval spreken we van pseudonimiseren in plaats van anonimiseren.

De Breyer-zaak: de sleuteluitspraak voor toekomstige jurisprudentie

Wanneer ligt in de “redelijke verwachting” dat een organisatie over alle middelen beschikt om gegevens te herleiden? Hoe breed moet je dit zien? Lange tijd werd op basis van een oordeel van de hoogste Europese rechter in de Breyer-zaak gedacht dat dit erg breed was. Het Hof oordeelde in die zaak dat dynamische IP-adressen, die wijzigen bij iedere nieuwe verbinding met het internet, moeten worden gezien als persoonsgegevens. Hierbij werd getoetst aan de criteria:

1. Is de identificatie van een persoon in de praktijk ondoenlijk (omdat het onredelijk veel tijd/kosten vergt of simpelweg technisch onmogelijk is);
2. of is het verboden bij wet?

Is het antwoord ‘ja’  op deze vragen, dan kun je gegevens niet tot een persoon herleiden en zijn het geen persoonsgegevens.

In dit geval hield de Duitse overheid de dynamische IP-adressen samen met een datum/tijd bij in een logboek vanuit beveiligingsoverwegingen, maar beschikte zelf niet direct over de gegevens om te achterhalen welke personen bij ieder IP-adres hoorden. Maar hoewel er geen verbod in de wet bestond, beschikt de Duitse overheid daarentegen wél over de bevoegdheid om de aanvullende informatie op te vragen bij een internetprovider. Daardoor oordeelde het Hof dat het binnen de redelijke verwachting valt dat de Duitse overheid over de juiste middelen beschikt om de gegevens te (kunnen) herleiden.

Het Hof beschouwde hiermee het theoretische gebruik van de bevoegdheid als voldoende, waardoor er tot dusver vanuit werd gegaan dat dit ook voor hashing (of andere versleutelingstechnieken) gold. Zo omschreef (pdf) eerder de voorloper van de Europese koepel van privacytoezichthouders (Artikel-29-werkgroep) dat hashing geen waterdichte methode is. Het is namelijk mogelijk om middels brute computerkracht iedere mogelijke sleutel te testen, de juiste te achterhalen en de gegevens te herleiden.

De GAR-zaak, een verkeerde interpretatie van de Breyer-toetsing

De vragen die tijdens de Breyer-zaak werden getoetst kunnen niettemin ook te streng worden geïnterpreteerd. In een recent oordeel heeft het Europees Hof nuance aangebracht in het eerdere ‘te strenge’ besluit van de privacytoezichthouder voor Europese organen (EDPS). In deze zaak ging het om namen en e-mailadressen die door de Gemeenschappelijke Afwikkelingsraad voor faillissementen van Europese banken (GAR) vooraf gehasht werden doorgestuurd naar consultancybedrijf Deloitte voor onderzoek. De EDPS had op basis van de Breyer-toetsvragen besloten dat het hier om persoonsgegevens ging en de GAR een tik op de vingers gegeven omdat het niet informeerde over het doorsturen van de gegevens naar Deloitte.

Het Hof bevestigde de Breyer-toetsing en stelde dat het ook in deze zaak mogelijk om persoonsgegevens zou kunnen gaan, ondanks het feit dat Deloitte zelf niet beschikte over de juiste sleutel. Maar volgens het Hof heeft de EDPS verkeerd getoetst omdat er niet werd aangetoond dat redelijkerwijs te verwachten valt dat Deloitte over de sleutel beschikt om de hash te herleiden naar een persoon. De privacytoezichthouder had namelijk enkel gekeken naar de mogelijkheid voor de GAR om de gegevens te ontsleutelen. Daarnaast had Deloitte, in tegenstelling tot de Duitse overheid in de Breyer-zaak, niet de wettelijke bevoegdheid om aanvullende informatie op te vragen. Hierdoor was het oordeel van het Hof dat niet vastgesteld kon worden dat het hier om persoonsgegevens ging.

Wat betekent dit voor de praktijk?

Wanneer je gebruik maakt van versleutelingstechnieken en op basis van de Breyer-toetsing goed kunt onderbouwen dat de ontvangende partij niet de mogelijkheid heeft om deze te ontsleutelen, dan werk je niet met persoonsgegevens en zou je kunnen stellen dat de AVG niet van toepassing is. Het gebruik aanvullende maatregelen en technieken zoals hashing, clean rooms en PET’s zouden die onderbouwing kunnen versterken.

Concluderen dat deze technieken 100 procent waterdicht zijn blijft daarentegen nog wat voorbarig. We zijn nog afhankelijk van rechters of toezichthouders om te bepalen of een dergelijke onderbouwing voldoende is. Daarnaast zit er mogelijk ook een verschil tussen kleinere organisaties en big-tech-partijen. Laatstgenoemden beschikken namelijk over een grote hoeveelheid aan data en middelen, waardoor het voor hen mogelijk moeilijker te onderbouwen is dat ze geen gegevens tot personen (kunnen) herleiden.

Over de auteur: Romar van der Leij is Legal counsel bij DDMA.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social media: LinkedIn, Twitter en Facebook.