GDPR en het begrip persoonsgegeven

Geplaatst op door

De GDPR definieert het begrip persoonsgegeven als elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Het is op dergelijke persoonsgegevens dat de beginselen inzake gegevensbescherming conform de GDPR van toepassing zijn.

Maar wat betekent elk gegeven van een geïdentificeerde of identificeerbare natuurlijke persoon?

Het begrip “alle informatie”

In een arrest op een prejudiciële vraag heeft het EHJ beslist (Arr. van 7/3/2024, 36) dat de term “alle informatie” dat aan het begrip “persoonsgegevens” moet worden gegeven een ruime betekenis heeft, en zowel objectieve als subjectieve elementen kan omvatten, voor zover de informatie de natuurlijke persoon betreft.

De soorten gegevens die men in aanmerking kan nemen om een natuurlijke persoon te identificeren zijn, zonder exhaustief te zijn:

  • strings, zoals naam, rijksregisternummer, … ;
  • locatie gegevens, zoals (fysiek en digitale) adresgegevens, …;
  • biometrische gegevens, zoals vingerafdrukken, stemgeluiden, …
  • afbeeldingen, zoals bijvoorbeeld foto’s, …

Deze gegevens kunnen alleen of in combinatie leiden tot de identificatie of identificeerbaarheid van een natuurlijke persoon.

Identificeerbare persoon

Om te kunnen bepalen of een natuurlijke persoon identificeerbaar is moet men rekening houden met alle middelen waarvan men redelijkerwijs kan verwachten dat ze zullen worden gebruikt door de verwerkingsverantwoordelijke om een natuurlijke persoon direct of indirect te identificeren.

Het betreft dus alle objectieve elementen waarbij men rekening dient te houden met de beschikbare technologie op het tijdstip van de verwerking en de technologische ontwikkelingen, m.a.w. men moet rekening houden met de actuele stand van de techniek.

Gepseudonimiseerde persoonsgegevens

Gepseudonimiseerde gegevens zijn nog steeds gegevens die via een bijkomend gegeven toelaten om een natuurlijke persoon te identificeren, ook al laten de gegevens op zichzelf niet toe om de natuurlijke persoon te identificeren.

De vraag rest of men door toepassing van sommige technieken nog te maken heeft met gepseudonimiseerde gegevens, of dat men dan anonieme gegevens bekomt?

Obfuscatie

Een techniek die eventueel kan worden gebruikt om pesoonsgegevens moeilijk leesbaar en/of verstaanbaar te maken is obfuscatie.

Met obfuscatie wordt een techniek bedoeld die doorgaans gebruik maakt van woordsubstitutie, het elimineren van spaties, etc., en dit op basis van een gedefinieerd algoritme.

Het obfusceren of déobfusceren van de tekst gebeurt op basis van een tool gekoppeld aan een bibliotheek van functies, al dan niet gecombineerd met een wachtwoord.

M.a.w. de originele geobfusceerde tekst kan terug leesbaar worden gemaakt voor gewone mensen, mits men beschikt over de tool en de bibiliotheek waarmee de originele tekst werd geobfusceerd.

Deze techniek wordt o.a. toegepast op software programmabestanden die niet beschikbaar worden gesteld in machinetaal of in een tussentaal waarvoor men een tussenapplicatie (bv. een runtime engine) voor nodig heeft om het software programma te kunnen draaien.

Voorbeelden van dergelijke programmabestanden zijn php of python source code bestanden.

Maar obfuscatie kan ook worden gebruikt om bijvoorbeeld een string van geconcateneerde persoonsgegevens direct onleesbaar te maken, maar toch terug leesbaar mits men de geobfusceerde string terug omzet in zijn originele vorm.

Daarom lijkt ons inziens dat geobfusceerde strings moeten worden beschouwd als gepseudonimiseerde persoonsgegevens, waarbij men nog steeds de natuurlijke persoon kan identificeren.

Encryptie

In tegenstelling tot obfuscatie wordt er bij encryptie de originele tekst vervangen door een geheime tekst waarbij gebruik wordt gemaakt van een code om te versleutelen.

Er zijn hier twee methodes, de symmetrische en de asymmetrische.

Bij de symmetrische wordt er slecht één sleutel gebruikt. Deze ene sleutel dient zowel voor encryptie als voor decryptie.

Voorbeelden van symmetrische methodes zijn AES (Advanced Encryption Standard) en DES (Data Encryption Standard).

Bij de asymmetrische encryptie daarentegen zijn er twee sleutels, een voor encryptie en een andere voor decryptie.

Voorbeelden van asymmetrische methodes zijn RSA en ECC (Elliptic Curve Cryptography).

Rekening houdende met het voorgaande kan men zich de vraag stellen of versleutelde gegevens gepseudonimiseerde persoonsgegevens zijn of eerder reeds kunnen worden beschouwd als anonieme gegevens? Zie infra voor een mogelijk antwoord op deze vraag.

Hashing

Een andere techniek is het hashen van de persoonsgegevens, of een stuk van de persoonsgegevens dat toelaat om een natuurlijk persoon te identificeren.

Bij het hashen wordt er, theoretisch, een niet omkeerbare string aangemaakt, m.a.w. de originele tekst kan men via de hash niet meer bekomen.

Voorbeelden van hash methodes zijn MD5 (Message Digtest 5), SHA-256 (Secure Hash Algorithm 256).

Rekening houdende met het voorgaande kan men stellen dat in de huidige stand van de techniek gegevens die werden gehashed anonieme gegevens zijn.

Anonieme gegevens

De GDPR stelt dat de beschermingsbeginselen niet van toepassing zijn op anonieme gegevens.

Hiermee wordt bedoeld gegevens die niet betrekking hebben op geïdentificeerde of identificeerbare natuurlijke personen of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is (overweging 26).

De vraag die men zich kan stellen is wat men precies bedoeld met “op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is“?

Moet de term “zodanig anoniem zijn gemaakt” worden uitgelegd dat, rekening houdende met de stand van de techniek, het gegeven of de informatie dat toelaat een natuurlijke persoon te identificeren op geen enkele manier zichtbaar wordt; of laat de term toe dat het gegeven of de informatie dat toelaat een natuurlijke persoon te identificeren nog kan, al dan niet zeer moeilijk via allerlei omwegen, worden bekomen?

Indien de term “zodanig anoniem zijn gemaakt” restrictief moet worden geïnterpreteerd, nl. dat op geen enkele manier het gegeven of de informatie dat toelaat een natuurlijke persoon te identificeren kan worden bekomen, dan leidt enkel het hashen van gegevens tot anonieme gegevens; anonieme gegevens die niet worden beschermd door de beginselen van de GDPR.

Immers encryptie, zowel de symmetrische als de asymmetrische laten nog steeds toe dat een gegeven kan worden gedecrypteerd naar zijn originele leesbare vorm.

Het maakt daarbij niet uit of het middel dat het geëncrypteerde gegeven kan decrypteren tot het gegeven dat toelaat de natuurlijke persoon te identificeren bij eenzelfde persoon berust, zoals dit doorgaans het geval is bij asymmetrische cryptografie.

Hiervoor kan steun worden gevonden in EHJ Arr. 7/3/2024, 39-41, waar weliswaar enkel wordt verwezen naar alle informatie aan de hand waarvan de betrokkene kan worden geïdentificeerd niet noodzakelijk bij dezelfde persoon berust.

In het geval van asymmetrische cryptografie berust de decryptie sleutel niet noodzakelijk bij eenzelfde persoon, tenzij dat de infrastructuur voor asymmetrische cryptografie door dezelfde persoon wordt beheerd als de persoon die de gegevensverwerking doet.

Samengevat zijn versleutelde gegevens die na ontsleuteling een natuurlijk persoon kunnen identificeren nog steeds persoonsgegevens in de zin van de GDPR.

Bloep, 9 oktober 2025.