Overheden werken veel samen en besteden taken uit. Daarbij worden regelmatig gegevens gedeeld met uitvoeringsorganisaties, onderzoeksbureaus of andere overheden.
Uitwisseling van persoonsgegevens onder de AVG
Gaat het daarbij om persoonsgegevens, dan moet rekening worden gehouden met de AVG en afgeleide regelgeving. Dat wringt vooral als de ontvangende partij geen verwerker is van de verzender. De ontvanger is dan (mede) verwerkingsverantwoordelijke, met de daarbij horende beperkingen (er is o.a. een grondslag vereist) en verplichtingen zoals de informatieplicht van dien.
Pseudonimisering als oplossing
In de praktijk worden persoonsgegevens daarom vaak eerst gepseudonimiseerd. Identificerende gegevens worden daarbij vervangen door codes, zodat de gedeelde gegevens niet direct tot een natuurlijke persoon herleidbaar zijn. De gedachte is dat de ontvanger dan geen persoonsgegevens verwerkt en dus geen rekening hoeft te houden met de AVG. Of dat in alle gevallen klopt is maar de vraag.
Pseudonimisering is namelijk niet hetzelfde als anonimisering. De verzender beschikt doorgaans over een sleutel of andere aanvullende informatie waarmee herleiding tot een persoon wél mogelijk blijft. Lange tijd was het, mede vanwege overweging 26 AVG, onduidelijk of de mogelijkheid dat de verzender de gepseudonimiseerde gegevens kan herleiden betekent dat deze gegevens ook voor de ontvanger per persoonsgegevens zijn.
Uitspraak Europees Hof
Het Europese Hof van Justitie verduidelijkt in een arrest van 4 september 2025 (ECLI:EU:C:2025:645, zaak C‑413/23 P, EDPS/SRB) dat gepseudonimiseerde gegevens niet automatisch voor alle partijen persoonsgegevens zijn, omdat er ergens een sleutel bestaat. De kwalificatie moet per partij worden beoordeeld: gaat het erom of de gegevens voor dié partij, met middelen die “redelijkerwijs waarschijnlijk” worden gebruikt, tot een natuurlijke persoon herleidbaar zijn. Daarbij tellen objectieve factoren mee zoals kosten, tijd en beschikbare technologie.
Kan de ontvanger de gegevens niet, ook niet met andere gegevens waarover hij beschikt, koppelen aan personen, dan zijn het voor hem geen persoonsgegevens en hoeft hij ten aanzien van die gegevens niet aan de AVG te voldoen. Voorwaarde is wél dat er adequate technische en organisatorische maatregelen zijn genomen om heridentificatie daadwerkelijk te verhinderen.
Daarnaast ontslaat pseudonimisering de verzender niet van de informatieplicht van artikel 13/14 lid 1 onder e AVG om betrokkenen te informeren over de partijen waarmee hun persoonsgegevens worden gedeeld. Daarnaast geldt dat het vervangen van (alleen) een naam of identificerend nummer er niet altijd toe leidt dat de overige gegevens niet meer tot een persoon herleidbaar zijn.
Toekomstige wetgeving
De Europese Commissie stelt als onderdeel van de Digitale Omnibus (COM(2025) 837) voor om in de AVG expliciet te verduidelijken dat gegevens géén persoonsgegevens zijn voor een entiteit die een persoon redelijkerwijs niet kan identificeren. Dit voorstel is nog niet aangenomen. Tot die tijd biedt het arrest van het Hof houvast. Het neemt een potentiële belemmering voor het delen gegevens weg, maar stelt ook duidelijke randvoorwaarden voor pseudonimiseren.
Meer weten over het delen van persoonsgegevens of de gevolgen van de Digitale Omnibus voor uw organisatie? Neem contact op met onze specialisten ICT-recht.
