Blogs / 

Transparantie blijft verplicht, ook bij doorgifte van gepseudonimiseerde persoonsgegevens

IT, Privacy & Cybersecurity

22 september 2025

Geschreven door

Hieke van Druten

Blog Image

Op 4 september 2025 heeft het Hof van Justitie van de EU een arrest gewezen in de zaak C-413/23 P (EDPS / GAR). Het arrest biedt helderheid over een fundamentele vraag binnen het gegevensbeschermingsrecht: wanneer kwalificeren gepseudonimiseerde gegevens als ‘persoonsgegevens’ onder de AVG?

De zaak in het kort

In deze zaak draaide het om de afwikkeling van een Spaanse bank. In dat kader verzamelde de Gemeenschappelijke Afwikkelingsraad (GAR), de centrale afwikkelingsautoriteit binnen het bankwezen, reacties van aandeelhouders en schuldeisers via een online formulier. Alvorens deze reacties te verzenden naar Deloitte voor analyse, had de GAR ze gepseudonimiseerd door namen te vervangen met codes. Enkel de GAR beschikte over de sleutel om deze codes te herleiden tot de specifieke personen die de reacties hadden ingediend. Deloitte had deze sleutel niet.

Een aantal van de betrokkenen richtte zich tot de Europese Toezichthouder voor gegevensbescherming, omdat zij door de GAR niet waren geïnformeerd over de doorgifte van hun persoonsgegevens aan Deloitte.

Wat oordeelt het Hof?

Het Hof brengt drie belangrijke punten naar voren:

  1. Een persoonlijke mening is een persoonsgegeven
    Het Hof bevestigt dat meningen of standpunten, als uiting van iemands gedachten, onlosmakelijk verbonden zijn met de persoon die ze uit. Zodra de verzamelende partij de auteur kan identificeren, is de mening of het standpunt een persoonsgegeven.
  2. Het begrip ‘persoonsgegeven’ is contextueel
    Of gegevens als persoonsgegeven kwalificeren, hangt af van de middelen waarover een specifieke partij beschikt. Voor Deloitte waren de gegevens mogelijk anoniem, maar voor de GAR bleven het persoonsgegevens, omdat hij immers beschikte over de sleutel.
  3. De informatieplicht rust op de verwerkingsverantwoordelijke
    De verplichting om betrokkenen te informeren ontstaat op het moment van gegevensverzameling. Omdat de GAR de gegevens kon herleiden, had hij de betrokkenen op dat moment moeten informeren over de doorgifte aan Deloitte ongeacht of Deloitte de betrokken personen kon identificeren.

Wat betekent dit voor uw organisatie?

Voor organisaties die persoonsgegevens verzamelen en delen met derden, vormt dit arrest een wake-up call om het privacybeleid eens grondig onder de loep te nemen:

  • Transparantie is niet optioneel
    Ook als u persoonsgegevens pseudonimiseert voordat u deze verstrekt aan derden, moet u betrokkenen informeren over deze doorgifte. Dit moet expliciet in uw privacyverklaring staan.
  • Pseudonimisering is geen vrijbrief
    Het feit dat de ontvanger van de persoonsgegevens geen toegang heeft tot de sleutel, ontslaat u niet van uw verplichtingen. Voor u blijven de gegevens namelijk persoonsgegevens zolang u de mogelijkheid heeft ze te herleiden.
  • Context bepaalt de kwalificatie, maar niet de verantwoordelijkheid
    De juridische kwalificatie van persoonsgegevens mag dan contextafhankelijk zijn, uw verplichtingen als verwerkingsverantwoordelijke zijn dat niet. Bij verwerking van persoonsgegevens gelden de verplichtingen uit de AVG.

Conclusie

Het arrest laat ruimte voor gegevensuitwisseling, maar trekt een duidelijke grens: de informatieplicht kan niet worden uitgehold door het treffen van pseudonomiseringsmaatregelen. Voor zakelijke partijen betekent dit dat een stevig en helder privacybeleid essentieel blijft, ook als er persoonsgegevens worden gepseudonimiseerd.

Vragen?

Neem voor vragen contact op met Hieke van Druten

Nieuwsbrief

Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Schrijf u dan in voor onze nieuwsbrief!