Transparantie stopt niet bij pseudoniemen
Een onderneming die persoonsgegevens pseudonimiseert en doorgeeft, blijft in de ogen van de wet nog steeds met persoonsgegevens werken. Alle verplichtingen van de AVG, en in het bijzonder de transparantieplicht tegenover de betrokkenen, blijven dus overeind. Dat is de essentie die het Hof van Justitie op 4 september 2025 nog eens scherp bevestigde in de zaak EDPS tegen de Single Resolution Board (SRB).
Tegelijk erkent het Hof ook dat er aan de kant van de ontvanger ruimte is voor een meer liberale interpretatie: krijgt die een dataset zonder sleutel en zonder redelijke herleidingsmogelijkheden, dan kan het goed zijn dat deze gegevens in zijn handen niet langer persoonsgegevens zijn.
Voor controllers is de boodschap echter helder: pseudoniemen zijn geen ontsnappingsroute uit de AVG.
De context van de zaak
Hoe de procedure ontstond
De aanleiding ligt in de afwikkeling van Banco Popular Español in 2017. De SRB besliste om Deloitte in te schakelen om reacties van benadeelde aandeelhouders en schuldeisers te analyseren. Om vertrouwelijkheid te bewaren, pseudonimiseerde de SRB deze reacties: namen werden vervangen door codes. Deloitte kreeg alleen de gecodeerde reacties en had geen toegang tot de sleutel die herleiding mogelijk maakte. Vanuit dat standpunt meende de SRB dat het niet langer om persoonsgegevens ging. Zij vond dan ook dat geen transparantieverplichting bestond en had de doorgifte bijgevolg niet opgenomen in haar privacyverklaring.
Toch dienden enkele betrokkenen klacht in bij de Europese toezichthouder voor gegevensbescherming (EDPS). Hun argument: voor de SRB bleven de gegevens persoonsgegevens, en daarom had de SRB hen moeten informeren dat Deloitte de reacties zou ontvangen. De EDPS gaf hen gelijk en tikte de SRB op de vingers. In 2023 haalde de SRB echter haar slag thuis bij het Gerecht: volgens dat oordeel waren de gegevens voor Deloitte geen persoonsgegevens en bestond er dus geen transparantieplicht. Het Hof van Justitie heeft die redenering nu vernietigd.
De conclusie van de advocaat-generaal
Advocaat-generaal Spielmann maakte in februari 2025 korte metten met de logica van het Gerecht. Hij benadrukte dat de verplichting tot transparantie moet worden beoordeeld vanuit de controller en niet vanuit de ontvanger. In zijn conclusie schreef hij:
“It is only where the risk of identification is non-existent or insignificant that data can legally escape classification as ‘personal data’.” (Conclusie AG Spielmann, 6 februari 2025, zaak C-413/23 P).
Het Hof volgde deze lijn volledig.
Het onderscheid tussen pseudonimiseren en anonimiseren
Twee fundamenteel verschillende concepten
Anonimiseren betekent dat de link met een persoon definitief wordt verbroken. Herleiding is dan redelijkerwijs onmogelijk en de dataset valt buiten de AVG. Bij pseudonimiseren daarentegen blijft de link behouden, al wordt die afgeschermd door een code of sleutel. Voor de controller die over de sleutel beschikt, blijft de koppeling bestaan en blijven de gegevens dus persoonsgegevens.
Het Hof bevestigt dit onderscheid en verwijst naar de tekst van de verordening zelf. In punt 120 van het arrest stelt het expliciet:
“It is not disputed between the parties that the SRB had, as controller, all the information necessary to identify the authors of those comments. It follows from the foregoing that, contrary to the SRB’s contention, the information at issue constitutes personal data.”
Dit is de kern: zolang de controller weet wie er achter de codes zit, zijn pseudoniemen geen anonimiteit.
De lijn van de toezichthouders
Ook de EDPB heeft dit principe steeds benadrukt. In haar richtsnoeren stelt ze:
“Pseudonymised data, which could be attributed to a natural person by the use of additional information, is to be considered information on an identifiable natural person, and is therefore personal.” (EDPB Guidelines 01/2025, punt 24).
Het Hof bevestigt nu dat dit niet louter een opinie is van toezichthouders, maar een juridisch bindende interpretatie.
Wat dit betekent voor de ontvanger
Het Hof heeft in dit arrest tegelijk duidelijk gemaakt dat de ontvanger van gepseudonimiseerde gegevens zich in een andere positie bevindt dan de controller. In randnummer 77 stelt het Hof expliciet dat gegevens die door pseudonimisering niet meer tot een geïdentificeerde of identificeerbare natuurlijke persoon herleidbaar zijn voor de ontvanger die geen sleutel of aanvullende informatie bezit, in diens handen niet langer als persoonsgegevens gelden.
Voor zo’n ontvanger gelden de verplichtingen van de AVG of vergelijkbare regelgeving dus niet.
Dit bevestigt een meer liberale visie en vormt een correctie op de vroegere, meer formalistische opinie van de voormalige WP29, die vaak elke vorm van pseudoniemen als persoonsgegevens bleef beschouwen. Voor controllers verandert dit niets: voor hen blijven pseudoniemen persoonsgegevens, met alle verplichtingen die daarbij horen.
Transparantie als hoeksteen
De verplichting volgens de wet
Transparantie is een kernprincipe van zowel de AVG als de verordening 2018/1725. Die laatste is in feite de tegenhanger van de AVG, maar dan specifiek voor de verwerkingen die door de instellingen en organen van de EU worden uitgevoerd. Beide regelgevingen leggen expliciet op dat betrokkenen op het moment van de gegevensverzameling moeten weten welke gegevens worden verwerkt, voor welke doeleinden, en wie de ontvangers zijn.
Betrokkenen moeten op het moment van de gegevensverzameling weten welke gegevens worden verwerkt, voor welke doeleinden, en wie de ontvangers zijn. Artikel 15 legt dit ondubbelzinnig vast.
Volgens het Hof moet de beoordeling van deze verplichting gebeuren vanuit de controller. In punt 111 lezen we:
“For the purposes of applying the obligation to provide information laid down in Article 15(1)(d) of Regulation 2018/1725, the identifiable nature of the data subject must be assessed at the time of collection of the data and from the point of view of the controller.”
Waarom dit logisch is
Stel dat een verzekeraar klantendossiers pseudonimiseert en doorstuurt naar een herverzekeraar. Voor die herverzekeraar zijn het misschien geen persoonsgegevens. Maar voor de verzekeraar zelf blijven het persoonsgegevens, omdat hij de sleutel bewaart. Het Hof benadrukt dat de verzekeraar dus verplicht blijft zijn klanten vooraf te informeren over de doorgifte. Het feit dat de ontvanger niet kan herleiden, verandert daar niets aan.
De bredere impact van transparantie
Het Hof legt hiermee de nadruk op de rol van vertrouwen. Transparantie is geen formaliteit maar een essentieel onderdeel van eerlijke gegevensverwerking. Betrokkenen hebben recht om te weten met wie hun gegevens gedeeld worden, zodat zij een geïnformeerde keuze kunnen maken. Dat geldt des te meer wanneer hun toestemming de basis vormt voor de verwerking. Zonder volledige informatie is die toestemming ongeldig.
De impact voor ondernemingen
Wat dit arrest betekent in de praktijk
Voor ondernemingen die hoopten dat pseudonimisering een makkelijke uitweg bood, is dit arrest een duidelijke wake-upcall. Pseudoniemen ontslaan je niet van de verplichtingen van de AVG. Wie data pseudonimiseert en deelt, blijft persoonsgegevens verwerken en moet dus transparant zijn. Wie dit niet doet, loopt een reëel risico op sancties. Dit betekent dat de juridische afdeling en de business samen moeten bekijken hoe doorgiftes van gegevens naar consultants, auditors of leveranciers worden gekaderd.
Voorbeeld: consultancy en data-analyse
Stel dat een onderneming klantonderzoek uitvoert en die reacties gecodeerd doorstuurt naar een extern bureau. Het bureau kan de personen niet identificeren, maar de onderneming kan dat nog wel. Volgens het Hof rust de informatieplicht daarom volledig op de onderneming. Het arrest bevestigt dat men niet kan redeneren: "het bureau weet het toch niet, dus ik hoef niets te melden." Transparantie moet vooraf, bij de betrokkenen.
Voorbeeld: verzekeraar en herverzekeraar
Een verzekeraar die dossiers pseudonimiseert en deelt met een herverzekeraar moet zijn klanten blijven informeren.
Het Hof verwijst expliciet naar de rol van de controller en stelt in punt 120:
“It is not disputed between the parties that the SRB had, as controller, all the information necessary to identify the authors of those comments. It follows … that the information at issue constitutes personal data.”
Dit citaat toont dat voor de controller de gegevens persoonsgegevens blijven, ongeacht of de ontvanger de sleutel heeft.
Geen verrassing?
Voor de de organisaties die beroep doen op consey(.legal) verandert dit arrest niets. Wij hebben altijd benadrukt dat pseudonimisering nuttig kan zijn om risico’s te beperken, maar nooit de verplichtingen rond transparantie wegneemt.
Het arrest bevestigt onze lijn en geeft onze cliënten de geruststelling dat ze al in overeenstemming handelen met de juiste interpretatie. Voor hen is dit arrest geen nieuwe last, maar een bevestiging van wat wij al jaren zeggen.
Voor wie nog twijfelt, is dit hét moment om de privacyverklaring en de contracten met dienstverleners kritisch te laten doorlichten.
Een bredere trend in Europese rechtspraak
De weg van Breyer tot SRB
Het Hof bouwt voort op eerdere rechtspraak. In het Breyer-arrest uit 2016 oordeelde het Hof dat een IP-adres persoonsgegevens kan zijn, omdat de websitebeheerder toegang had tot extra informatie waarmee identificatie mogelijk werd. Het SRB-arrest voegt hieraan toe dat de beoordeling van de transparantieplicht altijd vanuit de controller moet gebeuren, zelfs als de ontvanger de gegevens zelf niet kan herleiden.
Het belang van uniformiteit
Het Hof benadrukt ook dat de definities in verordening 2018/1725 en de AVG identiek zijn en dus gelijk moeten worden geïnterpreteerd. Daarmee onderstreept het dat deze redenering ook geldt voor alle ondernemingen die onder de AVG vallen. Ondernemingen kunnen zich dus niet verschuilen achter technische argumenten of het standpunt dat een ontvanger niets kan met de data. Voor de controller blijven het persoonsgegevens, met alle verplichtingen van dien.
Wat dit betekent voor ondernemers
Het arrest van 4 september 2025 is een duidelijke reminder: pseudoniemen zijn geen anonimiteit. Voor controllers blijven gepseudonimiseerde datasets persoonsgegevens. Transparantie over doorgiftes blijft verplicht, ook als de ontvanger zelf geen sleutel heeft. Voor wie al werkte volgens de adviezen van consey.legal is dit geen verrassing, maar een bevestiging. Voor wie dacht dat pseudonimisering een gemakkelijke uitweg bood, is het tijd om bij te sturen.
Bij consey(.legal) helpen we ondernemingen om hun datastromen correct te analyseren, pseudonimisatie juridisch juist te kaderen en transparantiebeleid helder te communiceren. Zo vermijdt u niet alleen sancties, maar bouwt u ook vertrouwen op bij klanten en partners. Wilt u weten hoe uw organisatie dit het best aanpakt? Neem contact op via hallo@consey.legal.
Geschreven door Kris Seyen, Founder & Managing Partner consey(.legal)
