Blogbericht

Zijn persoonsgegevens altijd persoonlijk?

Gepubliceerd op09/09/2025
SRB case
Zijn persoonsgegevens altijd persoonlijk?

Wat de SRB-zaak ons leert over pseudonimisering, toestemming, en AVG-naleving.

Jarenlang debatteerden privacy professionals erover: zijn persoonsgegevens relatief of absoluut als concept? Met andere woorden, zolang er een theoretische mogelijkheid bestaat dat een pseudonieme dataset opnieuw geïdentificeerd kan worden, blijven de data dan altijd persoonsgegevens, of is er een drempel waarbij we de data als anoniem kunnen beschouwen?

Als privacy professionals spreken over “persoonsgegevens,” denken ze aan namen, adressen, misschien een e-mail die je duidelijk aan iemand kan verbinden. Maar het Hof van Justitie van de Europese Unie (HvJ) herinnert ons eraan dat de grenzen van dit concept minder duidelijk zijn dan we denken. In de recente uitspraak EDPS tegen GAR (C-413/23 P), ging het HvJ graven in deze grijze zone, en de gevolgen daarvan voor AVG-naleving. De kern van de uitspraak? Of data persoonsgegevens zijn, hangt niet alleen af van wat er in je eigen systemen zit, maar ook wat een andere partij er redelijkerwijs mee doet. De relatieve benadering van persoonsgegevens werd hiermee eindelijk expliciet bevestigd.

In deze blogpost, analyseren we de recente GAR-zaak, leggen we uit wat dit betekent voor privacy professionals, en delen we bruikbare tips om AVG-naleving te verbeteren, vooral wanneer pseudonieme data gebruikt worden.

De GAR-zaak: een korte samenvatting.

https://vimeo.com/1117089497?fl=tl&fe=ec

De Gemeenschappelijke Afwikkelingsraad (GAR), een EU-autoriteit de afwikkeling van failliete banken beheert, beheerde de afwikkeling van Banco Popular, een Spaanse bank. Tijdens dat proces verzamelden ze identificatiedata en reacties van aandeelhouders en schuldeisers, en gaven ze deze enkel deze reacties door aan Deloitte voor een onafhankelijke waarde-inschatting.

Voordien had de GAR de dataset gepseudonimiseerd, en oordeelde het dat de data die verzonden waren naar Deloitte geen “persoonsgegevens” meer waren onder de AVG.

De schuldeisers en aandeelhouders waren niet geïnformeerd dat hun data, gepseudonimiseerd of niet, zouden doorgestuurd worden naar Deloitte. Verschillenden van hen dienden een klacht in bij de Europese Toezichthouder voor gegevensbescherming (EDPS), waardoor de bal aan het rollen ging.

Uiteindelijk kwam de zaak bij het HvJ, die met uitspraken over twee essentiële onderwerpen kwam:

1.1. Persoonsgegevens zijn relatief.

Het Hof oordeelde dat gepseudonimiseerde data niet automatisch persoonsgegevens zijn voor elke partij in de keten.

  • Voor de GAR waren het persoonsgegevens, omdat ze de sleutel hadden om de individuen opnieuw te identificeren.
  • Voor Deloitte, die enkel een versie zonder identificerende data kreeg, en de pseudonimisering niet kon omkeren, waren het geen persoonsgegevens.

Dit bevestigt expliciet de relatieve interpretatie van persoonsgegevens. Onder de AVG hangt de definitie van persoonsgegevens af van wie de dataset bezit, en wat ze er redelijkerwijs mee kunnen doen.

Als je data doorgeeft, en de ontvanger kan de individuen niet opnieuw identificeren, en je hebt technische en organisatorische maatregelen genomen, dan worden de data niet meer als persoonsgegevens beschouwd in de handen van de ontvangers.

Belangrijk is wel dat je dat moet aantonen.

1.2. Toestemming vereist volledige transparantie (ja, zelfs voor gepseudonimiseerde data).

De tweede grote uitspraak? De GAR had de individuen vooraf moeten informeren dat hun data misschien naar Deloitte zou gaan, zelfs in gepseudonimiseerde vorm.

Waarom? Omdat de dataverzameling gebaseerd was op toestemming. Volgens de AVG moet die geïnformeerd zijn, inclusief informatie over de (mogelijke) ontvangers.

Lessen voor Privacy Professionals.

Wat kun je leren uit deze zaak? Dat hangt af van of je de verwerkingsverantwoordelijke of de ontvanger bent van de gepseudonimiseerde dataset:

1.1. Voor verwerkingsverantwoordelijken.

De GAR-zaak opent mogelijkheden om pseudonieme datasets te delen met minder juridische beperkingen, zolang de pseudonimisatie grondig werd uitgevoerd. Het arrest biedt een aantal elementen om te overwegen en te documenteren wanneer een verwerkingsverantwoordelijke wil aantonen dat een gepseudonimiseerde dataset geen persoonsgegevens zijn voor de ontvanger:

  • Wees helder over welke identificerende gegevens verwijderd werden;
  • Bied een overzicht van de gebruikte technieken (tokenisation, hashing, noise toevoegen, scheiding van data stores, enz.);
  • Bepaal de limiet van de redelijke middelen van de ontvanger;
  • Vernoem elk juridisch kader dat re-identificatie verbiedt.

Door het documenteren van de aanpak kan een verwerkingsverantwoordelijke het risico op re-identificatie beoordelen per ontvanger. Wat “redelijk” betekent voor de ene ontvanger kan anders zijn voor een andere ontvanger. De drempel voor anonieme data blijft wel hoog.

De AVG blijft van toepassing voor verwerkingsverantwoordelijken. Ze moeten dus streng blijven toezien op ontvangers en contractuele bepalingen toepassen om deze data te delen.

Bovendien moeten alle (potentiële) ontvanger van de data vermeld worden om de vereiste van ‘geïnformeerde toestemming’ te behalen en persoonsgegevens te krijgen. Ook als de data achteraf pseudoniem of anoniem wordt gemaakt.

1.2. Voor ontvangers.

De situatie verandert drastisch voor ontvangers van gepseudonimiseerde of geanonimiseerde data. Dit geldt echter enkel als een ontvanger van gepseudonimiseerde data deze deelt met een andere partij, en die andere partij niet over redelijke middelen beschikt om individuen te identificeren. Als ze die middelen wel hebben, dan worden het opnieuw persoonsgegevens, met alle relevante verplichtingen. Die daarmee gepaard gaan (rol van de partijen, verwerkersovereenkomsten, rechtsgrond, enz.). Dit vloeit voort uit de zaak Scania (C-319/22). Elk bedrijf dat werkt (of wil werken) met dit soort data moet daarom de volgende maatregelen nemen:

  • Veronderstel niet dat je status stabiel blijft: zelfs als je data geen persoonsgegevens zijn in jouw handen, kan deze status veranderen bij een verdere doorgifte.
  • Bekijk ontvangers van ontvangers: vooraleer je deelt, bekijk of de daaropvolgende ontvangers wel middelen hebben om opnieuw te identificeren en de GDPR wel volledig van toepassing is.
  • Bereid verdere contractuele verplichtingen voor: een verwerkersovereenkomst (of bredere overeenkomst rond het delen van data) zal nodig zijn, net als een rechtsgrond, doelbinding, en verplichtingen rond transparantie.

Conclusie: naleving hangt af van de context

De GAR-zaak herinnert ons eraan dat gegevensbeschermingsrecht niet statisch is, en dat je nalevingsprogramma dat ook niet hoeft te zijn.

Hoewel pseudonimisatie een waardevolle technische maatregel is tegen re-identificatie, en het kan toelaten om data verder te delen zonder AVG-vereisten, blijft de drempel hiervoor heel hoog. De AVG kan toch een rol spelen als je (gepseudonimiseerde) data doorstuurt met een partij die over de nodige middelen beschikt om de betrokken personen te re-identificeren. Behoorlijke beheerskaders zullen nodig zijn om dit goed te behandelen.

Daarbovenop bevestigt het arrest dat geïnformeerde toestemming vereist dat alle (mogelijke) ontvangers meegedeeld worden, zelfs als de data later pseudoniem of anoniem worden gemaakt!

Ondersteuning nodig?

Bij CRANIUM helpen we organisaties uitspraken vertalen in naleving in de echte wereld. Van het analyseren van je rechtsgronden tot het verfijnen van je protocollen om data te delen, onze consultants zijn er om je erdoorheen te gidsen.

Deel op:

Geschreven door

Enzo Marquet

Enzo Marquet

Charlotte Bourguignon

Charlotte Bourguignon

Hi! Hoe kunnen we helpen?

Heb je interne privacyhulp nodig of een externe DPO? Neem contact met ons op en we zoeken samen met jou naar de beste oplossing.

Contacteer ons

Meer artikels

Alle artikels

Jouw vertrouwde partner in data governance en compliance.

Menu

Oplossingen

Contact

ISO 27001 certification

© 2026 – CRANIUM – PrivacyverklaringCookie PolicyAlgemene Voorwaarden

  • Oplossingen
    Privacy
    Digital Law
    Data Governance
    Campus
  • Resources
    Inzichten en updates
    Het nieuwste van onze blog
    Openbaarheid van bestuur vs Inzagerecht GDPR

    Openbaarheid van bestuur vs Inzagerecht GDPR

    21 april 2026 Geen onderdeel van een categorie
    NIS 2.0 naleven? Ontdek hoe eIDAS de juiste bouwstenen aanreikt.

    NIS 2.0 naleven? Ontdek hoe eIDAS de juiste bouwstenen aanreikt.

    7 april 2026 Blogbericht
    Wat is de impact van de Cyber Resilience Act op je contracten en processen?

    Wat is de impact van de Cyber Resilience Act op je contracten en processen?

    20 maart 2026 Blogbericht
  • Werken bij
    Nieuws rond Talent
    In the spotlight: Jill | “Sales is geen spelletje om targets te halen, het gaat om impact, voor klant én collega.”

    In the spotlight: Jill | “Sales is geen spelletje om targets te halen, het gaat om impact, voor klant én collega.”

    16 september 2025 Careers
    In the spotlight: Lisa | “ik wil blijven bijleren en mijn expertise verder uitbouwen. Bij CRANIUM krijg je daar ook echt de ruimte voor.”

    In the spotlight: Lisa | “ik wil blijven bijleren en mijn expertise verder uitbouwen. Bij CRANIUM krijg je daar ook echt de ruimte voor.”

    6 juni 2025 Careers
    In the Spotlight: Enzo | “Ik vond bij CRANIUM de vrijheid om mijn eigen pad uit te stippelen”

    In the Spotlight: Enzo | “Ik vond bij CRANIUM de vrijheid om mijn eigen pad uit te stippelen”

    20 mei 2025 Careers
    Werken bij CRANIUM
  • Over
    Over
Contact