Een DPIA is een Data Protection Impact Assessment, oftewel een gegevensbeschermings-effectbeoordeling. Deze is op grond van de AVG in bepaalde gevallen verplicht. Wat is dit en wat is het niet? Wanneer is deze verplicht? En wat is de rol van de functionaris gegevensbescherming?
Pseudonimiseren en de AVG
Pseudonimisering is een term uit de AVG die voor veel verwarring zorgt. Zijn dit persoonsgegevens, en is de AVG daar dus op van toepassing, of niet? Zoals zo vaak is het antwoord van juristen: dat hangt ervanaf. Dat komt doordat pseudonieme gegevens geen categorie of soort gegevens zijn. Pseudonimiseren staat alleen in de AVG als een techniek: Artikel 4(5) bepaalt: „pseudonimisering” is het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.”
Simpel gezegd betekent pseudonimiseren dus dat je “Antoinette Vlieger” vervangt voor bijvoorbeeld nummer “1973.” Het verschil met anonimiseren zit erin dat er nog wel een sleutel of een lijst bestaat, waarmee je kunt terugvinden dat nummer 1973 dus Vlieger is. In de medische wetenschap wil je vrijwel altijd pseudonimiseren in plaats van anonimiseren. Dan kunnen bevindingen zo nodig teruggekoppeld worden naar de behandelend arts of kan verzocht worden om enige aanvullende gegevens als die later nodig blijken voor het onderzoek.
Maar let erop dat er altijd een verschil is tussen gewoon taalgebruik en juridisch taalgebruik (zoals juristen op feestjes uitleggen: dit was geen moord maar doodslag, terwijl het voor iedereen om hen heen moord was). In het gewone spraakgebruik is pseudonimiseren dus het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt. Maar in de AVG wordt daar dus nog een component aan toegevoegd: “mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.” Er moet ook worden vastgelegd wie er (exclusief) toegang hebben tot de sleutel.
Is de AVG op pseudonieme gegevens van toepassing?
Maar is de AVG nu op dergelijke gegevens van toepassing of niet? Dat hangt er vanaf of het “persoonsgegevens” zijn en dat begrip persoonsgegevens is een relatief begrip. De AVG is van toepassing zodra iemands privacy in het geding is, omdat de gegevens kunnen worden herleid naar een bepaalde persoon. Als een academisch ziekenhuis onderzoek doet naar patiënt nummer 1973, en zij hebben zelf de lijst waarin staat dat dit om Vlieger gaat, dan zijn het voor dat ziekenhuis persoonsgegevens. Geven zij deze data (om een AI-tool te trainen) aan wiskundigen die de lijst niet hebben, dan zijn het voor die wiskundigen geen persoonsgegevens; de AVG is niet van toepassing. Wordt dezelfde set data aan het CBS gegeven – die de lijst ook niet heeft, maar die wel de data kan combineren met eigen data, waardoor het duidelijk is over wie de data gaan – dan zijn de data voor het CBS weer wel persoonsgegevens. En nog weer ingewikkelder: als de wiskundigen, voor wie het dus geen persoonsgegevens zijn, de data op een openbare website plaatsen, waardoor het CBS erbij kan (voor wie het wel persoonsgegevens zijn), dan zijn het bij het openbaar maken weer wel persoonsgegevens en dus is daarop de AVG wel van toepassing; ook voor de wiskundigen.
De AVG is dus van toepassing als er sprake is van persoonsgegevens; in handen van bepaalde personen en in een bepaalde context. Pseudonieme gegevens zijn soms wel persoonsgegevens en soms ook niet. En bij het begrip anonieme gegevens moet je evengoed oppassen. Absoluut anonieme gegevens zijn voor iedereen anoniem. Dat zijn geen persoonsgegevens en daarop is de AVG niet van toepassing. Maar er zijn ook relatief anonieme gegevens; wel anoniem voor mij, niet voor het CBS. Het is beter, om verwarring te voorkomen, om uitsluitend absoluut anonieme gegevens aan te duiden als anoniem. Daarop is de AVG sowieso niet van toepassing. Maar ten aanzien van relatief anonieme gegevens en pseudonieme gegevens, moet telkens getoetst worden of de AVG van toepassing is.
Wordt dat bevestigd in jurisprudentie?
Nu willen veel mensen graag weten of de Europese rechters bevestigd hebben dat bovenstaande klopt. Maar er is geen jurisprudentie over het begrip pseudonimisering zelf. Er is wel rechtspraak waarin gesproken wordt over gepseudonimiseerde gegevens, maar daarbij wordt telkens gewoon de jurisprudentie over het begrip ‘persoonsgegevens’ toegepast.
In het arrest GAR/EDPS (HvJ EU 26 april 2023, T-557/20, ECLI:EU:T:2023:219) is goed te zien hoe de Europese rechter omgaat met deze kwestie. De EDPS stelt dat de gegevens die de GAR met Deloitte heeft gedeeld, gepseudonimiseerde gegevens waren en daarom persoonsgegevens (r.o. 32). De GAR voert aan dat het voor ontvanger Deloitte geen pseudonieme gegevens zijn maar anonieme, aangezien de GAR de informatie aan de hand waarvan opnieuw kon worden geïdentificeerd niet met Deloitte heeft gedeeld (r.o. 76). Opvallend is, dat in de rechters in de uitspraak niet ingaan op de vraag of het nu pseudonieme of anonieme gegevens betrof, maar uitsluitend op de vraag of het persoonsgegevens betrof. En daar blijft het bij. De zaak dient nu in hoger beroep en de Advocaat-Generaal doet er (6 februari 2025, C-413/23P, ECLI:EU:C:2025:59) duidelijk een uitspraak over in overweging 52: Het is niet zo dat gepseudonimiseerde gegevens automatisch geen persoonsgegevens zijn, want “onder bepaalde voorwaarden” zijn het wel persoonsgegevens; maar niet altijd dus.
In Richtlijn 01/2025 van de EDPB over pseudonimisering, van 16 Januari 2025 is gelijkelijk te lezen (overweging 22): Als gepseudonimiseerde gegevens en aanvullende informatie kunnen worden gecombineerd met inachtneming van de middelen die redelijkerwijs door de verwerkingsverantwoordelijke of door een andere persoon worden gebruikt, dan zijn de gepseudonimiseerde gegevens persoonsgegevens.
Is pseudonimisering altijd verplicht?
Op pseudonieme gegevens is dus soms de AVG wel van toepassing, soms niet. Maar als je dat pseudonimiseren nog niet gedaan had, is dat dan wel op grond van de AVG verplicht? Ook daarop is het juridische antwoord: soms wel, soms niet. De korte samenvatting is; als het kan dan moet het (en wel zo snel mogelijk), maar kan het niet, dan mag je alsnog met de data werken, afhankelijk van de omstandigheden; bij een zwaarwegend doel en mits zeer goed beveiligd.
Medisch wetenschappers die data bijeen proberen te krijgen voor (onbetwist nuttig) onderzoek, worden nog weleens geconfronteerd met een weigering vanwege “doelbinding.” Zo was er iemand die data had verzameld voor onderzoek naar onverklaarbare oversterfte na Corona. Toen ze vervolgens diezelfde data wilde gebruiken voor onderzoek naar Long-Covid, werd dat niet toegestaan. Doelbinding! Maar klopt dat wel?
De EHDS beoogt meer gezondheidsdata beschikbaar te maken voor nuttig hergebruik door het veiliger te maken. De AVG blijft gewoon naast de EHDS gelden. Die bepaalt reeds dat dit hergebruik is toegestaan als er sprake is van een goed doel (zoals wetenschappelijk onderzoek), als de wet gevolgd wordt en als er maatregelen zijn genomen. Wat dat betreft brengt de EHDS niets nieuws. Toch is het revolutionair, wat er staat te gebeuren, onder meer omdat wetenschappers indirect een recht op data krijgen.