icon

Pseudonieme gegevens: vrij spel voor marketeers?

Opschudding onder verschillende Europese privacyorganisaties: een commissie van het Europees Parlement stelt voor om in de toekomstige Europese privacyverordening de nieuwe categorie “pseudonieme persoonsgegevens” te introduceren. Voor het verwerken (waarmee onder meer verzamelen, bewaren, raadplegen en verspreiden wordt bedoeld) van gegevens uit deze categorie zouden minder strenge regels gaan gelden dan voor de verwerking van “gewone” persoonsgegevens. Hierdoor zouden met name (online)marketingbedrijven meer en eenvoudigere mogelijkheden krijgen voor het verzamelen en gebruiken van profieldata. Dankzij slim lobbyen lijken deze bedrijven het meer op de privacy van de burger gerichte voorstel van de Europese Commissie wat af te kunnen zwakken.

Binnen de huidige Europese richtlijn, waarop onze Wet Bescherming Persoonsgegevens is gebaseerd, kennen we uitsluitend het begip “persoonsgegevens” (waarvan de bijzondere persoonsgegevens, zoals gegevens over gezondheid en het seksuele leven, deel uitmaken). Hieronder valt “iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Het verwerken van dergelijke gegevens (zoals namen, telefoonnummers, adressen) voor marketing-doeleinden vereist in beginsel de ondubbelzinnige toestemming van degene op wie die persoonsgegevens betrekking hebben. Het verwerken van anonieme data (gegevens die niet zijn te herleiden tot een specifiek persoon) valt niet onder deze regelgeving.

Pseudonieme data (in Duitsland overigens al wel in de wet opgenomen) vallen in feite tussen anonieme gegevens en persoonsgegevens in. Het zijn volgens de voorgestelde definitie “persoonsgegevens die niet kunnen worden toegeschreven aan een specifiek persoon zonder het gebruik van aanvullende informatie”. Die aanvullende informatie kan bijvoorbeeld een algoritme zijn, op basis waarvan de identificeerbare gegevens worden vermomd (“gepseudonimiseerd”). Om een voorbeeld te geven: door middel van een algoritme zou een naam of e-mailadres kunnen worden gecodeerd tot een betekenisloos woord of een nummer, dat zonder bekendheid met het algoritme niet te herleiden is tot de persoon achter de naam of het adres.

Ook gegevens in bijvoorbeeld een databank die in combinatie met gegevens uit een andere databank tot persoonsgegevens kunnen worden gecombineerd, worden gezien als pseudonieme gegevens. Tot slot worden ook ip-adressen wel tot de pseudonieme data gerekend: een ip-adres hoort immers aan de computer toe en het is doorgaans niet eenvoudig te achterhalen wie de persoon is achter de computer. Desondanks is zo'n ip-adres voor marketingbedrijven een nuttig gegeven: de meeste computers worden immers slechts door één persoon gebruikt.

Voorwaarde voor de vrije verwerking van pseudonieme data is wel dat de aanvullende informatie afzonderlijk bewaard wordt en dat de niet-herleidbaarheid tot een persoon door middel van technische en organisatorische maatregelen gewaarborgd wordt. Degene die de gegevens verwerkt mag dus niet te weten kunnen komen hoe hij de pseudonieme data kan ontcijferen of welke persoon eigenaar is van de computer die het ip-adres gebruikt. In dat geval zouden het immers gewone persoonsgegevens worden.

In dat laatste zit hem natuurlijk de vrees van de privacyorganisaties: hoe kunnen de verwerkers van pseudonieme gegevens garanderen dat die gegevens nooit gecombineerd gaan worden met de aanvullende informatie? Dat is normaal gesproken met name een beveiligingskwestie, en zoals inmiddels al vele malen is aangetoond is waterdichte beveiliging veelal een illusie. Bovendien is vaak helemaal niet zo duidelijk of een gegeven nu wel of niet een pseudoniem gegeven is. De gebruiker achter een bepaald ip-adres kan soms al via Google te achterhalen zijn, bijvoorbeeld als hij wel eens een bericht achterlaat op een forum waarbij zijn ip-adres wordt gepubliceerd.

Voor alle duidelijkheid: bovenstaande betreft vooralsnog enkel een aanpassing van de Commissie Burgerlijke vrijheden, justitie en binnenlandse zaken van het Europees Parlement op het voorstel voor de privacyverordening van de Europese Commissie. Of deze regeling ook zal worden opgenomen in die nieuwe verordening, die Richtlijn 95/46 – en de Wet Bescherming Persoonsgegevens – zal vervangen, blijkt pas in april, als over de definitieve inhoud gestemd gaat worden. Wij komen hier dus ongetwijfeld op terug!

Heeft u vragen?

This field is for validation purposes and should be left unchanged.
Pseudonieme gegevens: vrij spel voor marketeers?