Als medisch wetenschapper kun je denken dat je (beroepsmatig) weinig te maken hebt met de rechtsstaat. Niets is minder waar. Begrip van de trias politica is bijvoorbeeld van belang om te weten wanneer je de AP kan negeren. Ook is het wel handig als je begrijpt dat een lobby begint met de vraag of VWS wel de juiste plek is.
Pseudonimiseren en de AVG
Pseudonimisering is een term uit de AVG die voor veel verwarring zorgt. Zijn dit persoonsgegevens, en is de AVG daar dus op van toepassing, of niet? Zoals zo vaak is het antwoord van juristen: dat hangt ervanaf. Dat komt doordat pseudonieme gegevens geen categorie of soort gegevens zijn. Pseudonimiseren staat alleen in de AVG als een techniek: Artikel 4(5) bepaalt: „pseudonimisering” is het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.”
Simpel gezegd betekent pseudonimiseren dus dat je “Antoinette Vlieger” vervangt voor bijvoorbeeld nummer “1973.” Het verschil met anonimiseren zit erin dat er nog wel een sleutel of een lijst bestaat, waarmee je kunt terugvinden dat nummer 1973 dus Vlieger is. In de medische wetenschap wil je vrijwel altijd pseudonimiseren in plaats van anonimiseren. Dan kunnen bevindingen zo nodig teruggekoppeld worden naar de behandelend arts of kan verzocht worden om enige aanvullende gegevens als die later nodig blijken voor het onderzoek.
Maar let erop dat er altijd een verschil is tussen gewoon taalgebruik en juridisch taalgebruik (zoals juristen op feestjes uitleggen: dit was geen moord maar doodslag, terwijl het voor iedereen om hen heen moord was). In het gewone spraakgebruik is pseudonimiseren dus het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt. Maar in de AVG wordt daar dus nog een component aan toegevoegd: “mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.” Er moet ook worden vastgelegd wie er (exclusief) toegang hebben tot de sleutel.
Is de AVG op pseudonieme gegevens van toepassing?
Maar is de AVG nu op dergelijke gegevens van toepassing of niet? Dat hangt er vanaf of het “persoonsgegevens” zijn en dat begrip persoonsgegevens is een relatief begrip. De AVG is van toepassing zodra iemands privacy in het geding is, omdat de gegevens kunnen worden herleid naar een bepaalde persoon. Als een academisch ziekenhuis onderzoek doet naar patiënt nummer 1973, en zij hebben zelf de lijst waarin staat dat dit om Vlieger gaat, dan zijn het voor dat ziekenhuis persoonsgegevens. Geven zij deze data (om een AI-tool te trainen) aan wiskundigen die de lijst niet hebben, dan zijn het voor die wiskundigen geen persoonsgegevens; de AVG is niet van toepassing. Wordt dezelfde set data aan het CBS gegeven – die de lijst ook niet heeft, maar die wel de data kan combineren met eigen data, waardoor het duidelijk is over wie de data gaan – dan zijn de data voor het CBS weer wel persoonsgegevens. En nog weer ingewikkelder: als de wiskundigen, voor wie het dus geen persoonsgegevens zijn, de data op een openbare website plaatsen, waardoor het CBS erbij kan (voor wie het wel persoonsgegevens zijn), dan zijn het bij het openbaar maken weer wel persoonsgegevens en dus is daarop de AVG wel van toepassing; ook voor de wiskundigen.
De AVG is dus van toepassing als er sprake is van persoonsgegevens; in handen van bepaalde personen en in een bepaalde context. Pseudonieme gegevens zijn soms wel persoonsgegevens en soms ook niet. En bij het begrip anonieme gegevens moet je evengoed oppassen. Absoluut anonieme gegevens zijn voor iedereen anoniem. Dat zijn geen persoonsgegevens en daarop is de AVG niet van toepassing. Maar er zijn ook relatief anonieme gegevens; wel anoniem voor mij, niet voor het CBS. Het is beter, om verwarring te voorkomen, om uitsluitend absoluut anonieme gegevens aan te duiden als anoniem. Daarop is de AVG sowieso niet van toepassing. Maar ten aanzien van relatief anonieme gegevens en pseudonieme gegevens, moet telkens getoetst worden of de AVG van toepassing is.
Wordt dat bevestigd in jurisprudentie?
Nu willen veel mensen graag weten of de Europese rechters bevestigd hebben dat bovenstaande klopt. Maar er is geen jurisprudentie over het begrip pseudonimisering zelf. Er is wel rechtspraak waarin gesproken wordt over gepseudonimiseerde gegevens, maar daarbij wordt telkens gewoon de jurisprudentie over het begrip ‘persoonsgegevens’ toegepast.
In het arrest GAR/EDPS (HvJ EU 26 april 2023, T-557/20, ECLI:EU:T:2023:219) is goed te zien hoe de Europese rechter omgaat met deze kwestie. De EDPS stelt dat de gegevens die de GAR met Deloitte heeft gedeeld, gepseudonimiseerde gegevens waren en daarom persoonsgegevens (r.o. 32). De GAR voert aan dat het voor ontvanger Deloitte geen pseudonieme gegevens zijn maar anonieme, aangezien de GAR de informatie aan de hand waarvan opnieuw kon worden geïdentificeerd niet met Deloitte heeft gedeeld (r.o. 76). Opvallend is, dat in de rechters in de uitspraak niet ingaan op de vraag of het nu pseudonieme of anonieme gegevens betrof, maar uitsluitend op de vraag of het persoonsgegevens betrof. En daar blijft het bij. De zaak dient nu in hoger beroep en de Advocaat-Generaal doet er (6 februari 2025, C-413/23P, ECLI:EU:C:2025:59) duidelijk een uitspraak over in overweging 52: Het is niet zo dat gepseudonimiseerde gegevens automatisch geen persoonsgegevens zijn, want “onder bepaalde voorwaarden” zijn het wel persoonsgegevens; maar niet altijd dus.
In Richtlijn 01/2025 van de EDPB over pseudonimisering, van 16 Januari 2025 is gelijkelijk te lezen (overweging 22): Als gepseudonimiseerde gegevens en aanvullende informatie kunnen worden gecombineerd met inachtneming van de middelen die redelijkerwijs door de verwerkingsverantwoordelijke of door een andere persoon worden gebruikt, dan zijn de gepseudonimiseerde gegevens persoonsgegevens.
Is pseudonimisering altijd verplicht?
Op pseudonieme gegevens is dus soms de AVG wel van toepassing, soms niet. Maar als je dat pseudonimiseren nog niet gedaan had, is dat dan wel op grond van de AVG verplicht? Ook daarop is het juridische antwoord: soms wel, soms niet. De korte samenvatting is; als het kan dan moet het (en wel zo snel mogelijk), maar kan het niet, dan mag je alsnog met de data werken, afhankelijk van de omstandigheden; bij een zwaarwegend doel en mits zeer goed beveiligd.
De EHDS creëert nieuwe rollen rond het hergebruik van gezondheidsgegevens. Bekend is de Health Data Acces Body, maar onbekend is de dataverzamelaar. Juist die dataverzamelaar is cruciaal voor het ontsluiten van data op een manier die efficiënter is, beter voor de wetenschap, en die bovenal kan bijdragen aan meer vertrouwen in het systeem. Het lijkt me nuttig als we in Nederland op congressen eens grondig gaan bespreken hoe we door gebruik van de rol van dataverzamelaar, het EHDS-systeem optimaal kunnen inrichten.
In discussies over het hergebruik van gezondheidsgegevens, wordt vaak gepraat over landsgrenzen. De privacy-aanhangers vinden veelal dat bij hergebruik “onze” data de grens niet over mogen. Wetenschappers stellen dat ze hun werk eigenlijk alleen kunnen doen als data uit verschillende landen kunnen worden gebruikt. Daarom verwelkomen ze de EHDS. Wat beide partijen over het hoofd zien, is dat er allang binnen de EU een vrij verkeer van gezondheidsdata bestaat.