PrivacyTeam033 200 30 83
Inloggen

Transparantieplicht ook van toepassing bij doorgifte van gepseudonimiseerde gegevens

Transparantieplicht ook van toepassing bij doorgifte van gepseudonimiseerde gegevens

Op 4 september 2025 heeft het Hof van Justitie van de Europese Unie een baanbrekend arrest gewezen in zaak C-413/23 P (EDPS / GAR). In dit arrest staat een fundamentele vraag centraal binnen het  gegevensbeschermingsrecht: onder welke omstandigheden blijven gepseudonimiseerde gegevens toch aangemerkt als persoonsgegevens onder de AVG?

De zaak in vogelvlucht
De zaak ontstond na de afwikkeling van het faillissement van de Spaanse bank Banco Popular Español door de Gemeenschappelijke Afwikkelingsraad (GAR). In het kader van een hoorzittingsprocedure verzamelde de GAR reacties van aandeelhouders en schuldeisers. Deze reacties werden gepseudonimiseerd - voorzien van codes zonder directe identificatie - en vervolgens doorgestuurd naar Deloitte voor analyse. Alleen de GAR beschikte over de sleutel om de reacties te herleiden tot individuen.

Een aantal betrokkenen dienden een klacht in bij de Europese Toezichthouder voor gegevensbescherming (EDPS), omdat zij niet waren geïnformeerd over deze doorgifte. De EDPS stelde vast dat de Gemeenschappelijke Afwikkelingsraad (GAR) de informatieplicht had geschonden. De doorgestuurde gegevens bevatten een identificeerbare code, waardoor ze voor de GAR nog steeds als persoonsgegevens golden. Dat Deloitte geen toegang had tot de sleutel, maakte dit niet anders.

Het Hof spreekt zich uit
De GAR vocht dit oordeel aan bij het Gerecht van de Europese Unie, dat de beslissing van de EDPS vernietigde. Het Gerecht stelde dat de gegevens voor Deloitte niet identificeerbaar waren en dat de EDPS dit perspectief onvoldoende had meegewogen.

Het Hof van Justitie draaide deze uitspraak echter terug en bracht drie cruciale punten naar voren:

  1. Persoonlijke meningen zijn persoonsgegevens
    Persoonlijke opvattingen zijn uitingen van gedachten en dus onlosmakelijk verbonden met de persoon die ze uit. Als de verzamelende partij de auteur kan identificeren, zijn deze meningen persoonsgegevens.
  2. Pseudonimisering verandert de context, niet de verantwoordelijkheid
    Hoewel Deloitte de gegevens niet kon herleiden, kon de GAR dat wel. Voor de GAR bleven het dus persoonsgegevens, en daarmee bleef ook de informatieplicht van kracht.
  3. Informatieplicht rust op de verwerkingsverantwoordelijke
    De verplichting om betrokkenen te informeren over ontvangers van hun gegevens moet worden beoordeeld op het moment van gegevensverzameling, vanuit het perspectief van de verwerkingsverantwoordelijke.

 

Wat betekent dit voor organisaties?
Dit arrest maakt duidelijk dat pseudonimisering geen afbreuk doet aan de verplichting tot transparantie richting betrokkenen. Organisaties die persoonsgegevens verzamelen en delen met derden moeten rekening houden met het volgende:

  1. Transparantie telt, ook bij pseudonimisering
    Ook wanneer persoonsgegevens worden gepseudonimiseerd voorafgaand aan doorgifte aan derden, blijft de verplichting bestaan om betrokkenen hierover te informeren. Deze informatie moet expliciet worden opgenomen in de privacyverklaring.

  2. De context niet verwarren met verantwoordelijkheid
    Hoewel de juridische kwalificatie van gegevens kan variëren per situatie, blijven de verplichtingen voor verwerkingsverantwoordelijken onder de AVG onverminderd van kracht.

  3. Pseudonimisering biedt bescherming, maar biedt geen uitzondering
    Het ontbreken van toegang tot de herleidingssleutel bij de ontvanger doet niets af aan de kwalificatie van de gegevens als persoonsgegevens. Zolang herleiding mogelijk blijft voor de verzendende partij, blijven het persoonsgegevens waarvoor de AVG geldt.
Naar het overzicht