Wanneer is een gegeven een persoonsgegeven?

Een persoonsgegeven is “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Zo staat het in de AVG. Maar dat is slechts het startpunt over de discussie of en hoe iemand identificeerbaar moet zijn. Een recent arrest van het Europese Hof voegt weer een nieuwe dimensie toe aan deze discussie. Spoiler alert: we zijn nog lang niet eruit.

In 2017 ging de Spaanse Banco Popular ten onder, waarna Europa ingreep met een afwikkelingsregeling. Getroffen aandeelhouders en crediteuren konden in die regeling relevante informatie verstrekken, wat vervolgens beoordeeld werd door Deloitte en gedeeld werd met beoogd koper Santander. Een aantal partijen maakten daartegen bezwaar, onder meer omdat dit niet duidelijk vermeld was in de privacyverklaring.

Het verweer luidde dat er helemaal geen persoonsgegevens waren gedeeld, omdat de gegevens enkel aan een alfanumerieke code gekoppeld waren en niet aan namen en adressen van betrokkenen. Meelezende FG’s en privacy officers fronsen nu de wenkbrauwen: dit noemen we toch pseudonimiseren en niet anonimiseren, de gegevens blijven immers herleidbaar zolang je ergens een lijst hebt die die codes vertaalt naar identificerende informatie. En daar hebben ze op zich helemaal gelijk in.

Sinds het Breyer-arrest weten we dat herleidbaarheid (identificeerbaarheid) onder de AVG behoorlijk ver gaat. In die zaak was de vraag of een IP-adres voor een website-aanbieder telt als persoonsgegeven. Dat IP-adres is immers te herleiden tot een persoon, maar je hebt de hulp van de internetprovider nodig, en die krijg je niet zomaar (hoi DFW). Toch is het dan een persoonsgegeven, aldus het Hof van Justitie:
[De term persoonsgegeven] moet aldus worden uitgelegd dat een dynamisch internetprotocoladres dat door een aanbieder van onlinemediadiensten wordt geregistreerd telkens als een persoon een website bezoekt die door deze aanbieder toegankelijk wordt gemaakt voor het publiek, ten aanzien van die aanbieder een persoonsgegeven in de zin van voormelde bepaling vormt, wanneer hij beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust.
Die “wettige middelen” moet je breed lezen: als de website-eigenaar via een juridische procedure de gegevens kan opeisen, dan is er een redelijkerwijs beschikbaar en wettig middel en daarmee zijn de IP-adressen dus nu al persoonsgegevens. Oké.

In deze nieuwe uitspraak (zaak T-557/20) werkt het Hof dit nu nader uit: je moet deze analyse doen vanuit het perspectief van de ontvanger van de gegevens, hier dus Deloitte. Dat het in abstracto voor iemand mogelijk is om de identificatie te doen (de code terug te vertalen) is niet genoeg, kon specifiek die ontvanger dit doen met redelijke en wettige middelen? Dit laatste is niet onderzocht, en daarom moet de zaak opnieuw beoordeeld worden. Het antwoord lijkt mij “nee”, want in zo’n relatie is er niet echt een voor de hand liggend middel om de koppeling af te dwingen.

Het gevolg lijkt dus te zijn dat wie zo’n lijst met codes plus gegevens krijgt, en daarbij contractueel verboden is ooit de koppeling terug te maken, de lijst als géén persoonsgegevens te beschouwen. Pseudonimiseren wordt daarmee anonimiseren. Ik zeg `lijkt’, want volgens mij is dit niet de bedoeling van de AVG.

De kern van het begrip persoonsgegeven is `identificeren’, maar dat is niet hetzelfde als het kunnen koppelen aan een naam of contactgegeven. De definitie zegt immers dat identificatie plaats kan vinden:
… met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
Dat dit moet leiden tot een naam of een ander specifiek element, is niet vereist. “Die meneer op de achterste rij heeft een vraag” is volgens mij evident een persoonsgegeven, net als “bezoeker met cookie THX1138 is duidelijk geïnteresseerd in onze nieuwe cursus”. Het wil er bij mij niet in dat onder deze uitspraak {THX1138;cursus:0.93} géén persoonsgegeven is.

Verder is er natuurlijk het punt dat de rest van de gegevens alsnog genoeg kan zijn om iemand te identificeren. Namen en contactgegevens weglaten is niet perse genoeg om gegevens te anonimiseren. Dus ik reken mezelf niet echt rijk met deze uitspraak.

Arnoud

 

Het bericht Wanneer is een gegeven een persoonsgegeven? verscheen eerst op Ius Mentis.

Gerelateerde berichten:

• Waarom is een IP-adres een persoonsgegeven en een kenteken niet? (06/02/18 08:18)
• Huh, in alle grote steden word je via je telefoon gevolgd?! (27/06/16 08:14)
• Mag je onder de AVG weten wie je een Valentijnskaart of -boeket stuurde? (14/02/19 08:16)
• Kun je via de privacywet als ondernemer uit Google Maps en Streetview blijven? (16/05/14 08:11)
• Mogen ze over je auto met nummerbord praten op een forum? (15/12/15 08:11)

Reacties:

Er zijn nog geen reacties op dit bericht.