Brussel, 17 januari – Tijdens zijn plenaire vergadering van januari 2025 heeft het Europees Comité voor gegevensbescherming (EDPB) richtsnoeren inzake pseudonimisering vastgesteld, alsook een verklaring over de wisselwerking tussen het mededingingsrecht en gegevensbescherming.
EDPB verduidelijkt het gebruik van pseudonimisering voor de naleving van de AVG
De AVG introduceert de term “pseudonimisering”* en verwijst ernaar als een waarborg die geschikt en doeltreffend kan zijn om aan de verplichtingen inzake gegevensbescherming te voldoen. In zijn richtsnoeren verduidelijkt het EDPB de definitie en toepasbaarheid van pseudonimisering en gepseudonimiseerde gegevens en de voordelen van pseudonimisering.
De richtsnoeren bevatten twee belangrijke juridische verduidelijkingen:
- Gepseudonimiseerde gegevens, die aan een persoon kunnen worden toegeschreven door het gebruik van aanvullende informatie, blijven informatie met betrekking tot een identificeerbare natuurlijke persoon en zijn daarom nog steeds persoonsgegevens. Als de gegevens door de verwerkingsverantwoordelijke of iemand anders aan een persoon kunnen worden gekoppeld, blijven het immers persoonsgegevens.
- Pseudonimisering kan risico's verminderen en het gemakkelijker maken om legitieme belangen als rechtsgrondslag te gebruiken (artikel 6, lid 1, punt f), AVG), zolang aan alle andere vereisten van de AVG wordt voldaan. Evenzo kan pseudonimisering helpen om de verenigbaarheid met het oorspronkelijke doel te waarborgen (artikel 6, lid 4, AVG).
In de richtsnoeren wordt ook uitgelegd hoe pseudonimisering organisaties kan helpen te voldoen aan hun verplichtingen met betrekking tot de toepassing van gegevensbeschermingsbeginselen (artikel 5 AVG), gegevensbescherming door ontwerp en standaardinstellingen (artikel 25 AVG) en beveiliging (artikel 32 AVG).
Tot slot worden in de richtsnoeren technische maatregelen en waarborgen geanalyseerd bij het gebruik van pseudonimisering om de vertrouwelijkheid te waarborgen en ongeoorloofde identificatie van personen te voorkomen.
De richtsnoeren zullen tot en met 28 februari 2025 aan een openbare raadpleging worden onderworpen, zodat belanghebbenden opmerkingen kunnen maken en toekomstige ontwikkelingen in de jurisprudentie kunnen worden opgenomen.
De wisselwerking tussen het recht inzake gegevensbescherming en het mededingingsrecht: het standpunt van het EDPB over de wijze waarop de samenwerking tussen regelgevers kan worden verbeterd
Tijdens de plenaire vergadering heeft het EDPB ook een standpuntnota aangenomen over de wisselwerking tussen het gegevensbeschermingsrecht en het mededingingsrecht.
Het arrest van het HvJ-EU van 4 juli 2023, Meta tegen Bundeskartellamt, heeft duidelijk aangegeven dat gegevensbeschermings- en mededingingsautoriteiten in sommige gevallen moeten samenwerken om tot een doeltreffende en gecoördineerde handhaving van het gegevensbeschermings- en mededingingsrecht te komen. Hoewel dit afzonderlijke rechtsgebieden zijn die verschillende doelen nastreven in verschillende kaders, kunnen ze in sommige gevallen van toepassing zijn op dezelfde entiteiten. Het is daarom belangrijk om situaties te beoordelen waarin de wetten elkaar kunnen kruisen.
In deze standpuntnota legt het EDPB uit hoe gegevensbescherming en mededingingsrecht met elkaar in wisselwerking staan. Het stelt maatregelen voor om markt- en concurrentiefactoren in gegevensbeschermingspraktijken op te nemen en om bij mededingingsbeoordelingen rekening te houden met gegevensbeschermingsregels. Het bevat ook aanbevelingen om de samenwerking tussen regelgevers te verbeteren. Bijvoorbeeld: de autoriteiten moeten overwegen een centraal contactpunt op te richten voor het beheer van de coördinatie met andere regelgevers.
Vicevoorzitter Zdravko Vukíc van het EDPB: “Naarmatebedrijfsmodellen evolueren, wordt de noodzaak om persoonsgegevens te beschermen steeds belangrijker. Het EDPB bevordert de samenhang tussen afzonderlijke, maar op elkaar inwerkende regelgevingsgebieden om de best mogelijke bescherming van personen te waarborgen. Daartoe zullen wij met de mededingingsautoriteiten blijven samenwerken om de gegevensbeschermingsautoriteiten beter in staat te stellen rekening te houden met de economische context en om gegevensbeschermingsoverwegingen in hun beoordelingen en besluiten op te nemen.”
Opmerking voor redacteuren:
“Pseudonimisering” wordt in artikel 4, lid 5, AVG gedefinieerd als “de verwerking van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet langer aan een specifieke betrokkene kunnen worden toegeschreven zonder het gebruik van aanvullende informatie, op voorwaarde dat dergelijke aanvullende informatie afzonderlijk wordt bewaard en onderworpen is aan technische en organisatorische maatregelen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden toegeschreven”.
Het hier gepubliceerde persbericht is automatisch uit het Engels vertaald. De EDPB garandeert de juistheid van de vertaling niet. Raadpleeg de officiële tekst in de Engelse versie als er enige twijfel bestaat.