Het Hof van Justitie heeft op 4 september 2025 een belangrijke uitspraak gedaan waarbij het verduidelijkt wanneer er sprake is van pseudonimisering en wanneer gepseudonimiseerde gegevens niet meer aan te merken zijn als persoonsgegevens.[1] Daarnaast heeft het Hof van Justitie ook duidelijkheid geschept over de informatieverplichting die geldt voor de verwerkingsverantwoordelijke.
Onderscheid pseudonimisering en anonimisering
Het is belangrijk om het verschil tussen gepseudonimiseerde en geanonimiseerde gegevens te benadrukken. Pseudonimisering en anonimisering zijn technieken die de herleidbaarheid van persoonsgegevens beïnvloeden. Voor de praktijk is het onderscheid tussen gepseudonimiseerde en geanonimiseerde gegevens relevant, want geanonimiseerde gegevens vallen buiten het toepassingsgebied van de AVG, terwijl de gepseudonimiseerde gegevens wel onder de AVG vallen, maar niet altijd, zo leert het arrest.
Rechtsvraag
Kortgezegd was de achterliggende rechtsvraag in het arrest wanneer gepseudonimiseerde gegevens kwalificeren als persoonsgegevens.[2]
Feiten
Het arrest betreft een voorlopig besluit van de Single Resolution Board (Europese autoriteit voor de afwikkeling van banken) en gaat over de vraag of het nodig was om voormalige aandeelhouders van een Spaanse Bank een schadevergoeding toe te kennen. De Single Resolution Board had belanghebbenden verzocht om een vragenformulier in te vullen en opmerkingen in te dienen voor hun onderzoek over schadevergoedingen. De Single Resolution Board heeft de inzendingen gepseudonimiseerd, door de namen van de betrokken personen te verwijderen en te vervangen door alfanumerieke code’s (willekeurige gegeneerde codes). Verschillende betrokkenen hebben een klacht ingediend omdat zij stelden dat zij niet geïnformeerd waren van het doorsturen van de gegevens naar alle derden.
Beoordeling
Het Hof van Justitie verduidelijkt in onderhavig arrest dat gepseudonimiseerde gegevens niet altijd per definitie persoonsgegevens zijn. Het Hof oordeelt dat gepseudonimiseerde gegevens enkel persoonsgegevens zijn voor een specifieke ontvanger van die desbetreffende gegevens alsde ontvanger toegang heeft tot middelen waarvan redelijkerwijs verwacht kan worden dat zij worden gebruikt om de betrokkene te identificeren.[3]
Dit brengt met zich mee dat dezelfde gegevens voor de ene ontvanger wel gekwalificeerd kunnen worden als persoonsgegevens waardoor de AVG van toepassing is, en voor een andere ontvanger van dezelfde gegevens niet. Het Hof verduidelijkt dat gepseudonimiseerde gegevens dus niet altijd per definitie persoonsgegevens zijn maar dat de kwalificatie afhankelijk is van de specifieke omstandigheden van de ontvangers.[4]
In dit arrest wordt duidelijk dat technische maatregelen die getroffen zijn ten aanzien van de persoonsgegevens voor pseudonimisering door een verwerkingsverantwoordelijke relevant zijn en ertoe doen bij de beoordeling of er sprake is van persoonsgegevens. Indien er namelijk voldoende technische maatregelen zijn getroffen, waardoor het niet mogelijk is voor een ontvanger om de pseudonimisering terug te draaien, worden deze gegevens niet als persoonsgegevens beschouwd. Dit brengt met zich mee dat de AVG niet van toepassing is op de verhouding tussen de verwerkingsverantwoordelijke en de desbetreffende ontvanger.
Informatieverplichting
Belangrijk om te benoemen is dat het Hof van Justitie heeft geoordeeld dat zelfs in het geval gegevens gepseudonimiseerd zijn voor verstrekking aan derden, de originele verwerkingsverantwoordelijke nog steeds moet voldoen aan de AVG en daarom betrokkenen ook moet informeren over de verstrekking aan derden.[5]
De toepassing van informatieverplichting, op grond waarvan de verwerkingsverantwoordelijke de betrokkene onder andere moet informeren over het gebruik van de gegevens en de ontvangers, moet worden beoordeeld op het moment waarop de gegevens worden verzameld en vanuit het perspectief van de verwerkingsverantwoordelijke.
Dit betekent dat de informatieverplichting deel uitmaakt van
de rechtsverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, en
dat aan die verplichting in beginsel moet worden voldaan op het moment dat de
persoonsgegevens worden verzameld, ongeacht of deze gegevens later geen
persoonsgegevens zijn voor de ontvangers.
Disclaimer
Let op dat dit slechts een algemene samenvatting is van het arrest van het Hof van Justitie en dat de enige uitzonderingen op de hoofdregels hierin zijn weggelaten. Neem voor verdere concrete vragen gerust contact op met: Roeland de Bruin.
[1] Hof van Justitie, 4 september 2025 ECLI:EU:C:2025:59 C-413/23 PEDPS v SRB.
[2] Het is belangrijk om kort te benoemen dat het hier niet om de AVG ging, maar een andere verordening namelijk Verordening (EU) 2018/1725, maar dat de definitie in deze verordening identiek is aan de definitie van de AVG en voor de interpretatie daarvan van belang is.
[3] Hof van Justitie, 4 september 2025 ECLI:EU:C:2025:59 C-413/23 PEDPS v SRBr.o. 86, 87.
[4] Hof van Justitie, 4 september 2025 ECLI:EU:C:2025:59 C-413/23 PEDPS v SRBr.o. 86.
[5] Hof van Justitie, 4 september 2025 ECLI:EU:C:2025:59 C-413/23 PEDPS v SRBr.o. 112-116 en 120.
[6]Hof van Justitie, 4 september 2025 ECLI:EU:C:2025:59 C-413/23 PEDPS v SRBr.o. 112-116.
Heeft u vragen?
Neem contact met ons op
Neem contact met ons op