De 20 Miljoen Euro Onderscheiding
GDPR Artikel 83 stelt maximale boetes vast op €20 miljoen of 4% van de wereldwijde jaarlijkse omzet, afhankelijk van wat hoger is, voor de ernstigste overtredingen. Het onderscheid tussen anonimisering en pseudonimisering bepaalt of de GDPR van toepassing is op een dataset en of de maximale boete van toepassing is.
GDPR Overweging 26 definieert de anonimiseringdrempel: "De beginselen van gegevensbescherming zouden daarom niet van toepassing moeten zijn op anonieme informatie, namelijk informatie die niet betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die op een zodanige manier zijn geanonimiseerd dat de betrokkene niet of niet langer identificeerbaar is." De sleutelzin: "niet of niet langer identificeerbaar" — door enig middel dat redelijkerwijs waarschijnlijk is dat het wordt gebruikt, door de gegevensbeheerder, elke verwerker of enige derde partij.
GDPR Artikel 4(5) definieert pseudonimisering: "de verwerking van persoonsgegevens op een zodanige manier dat de persoonsgegevens niet langer aan een specifieke betrokkene kunnen worden toegeschreven zonder het gebruik van aanvullende informatie, op voorwaarde dat dergelijke aanvullende informatie afzonderlijk wordt bewaard." Pseudonimiseerde gegevens zijn expliciet niet anoniem — het "kan niet langer worden toegeschreven... zonder het gebruik van aanvullende informatie." Pseudonimiseerde gegevens blijven persoonsgegevens onder de GDPR.
De praktische implicatie: een organisatie die gelooft dat haar analytics dataset "geanonimiseerd" is (buiten de GDPR) wanneer deze in werkelijkheid "pseudonimiseerd" is (binnen de GDPR) heeft onjuiste Artikel 30 ROPA-invoeren, onvoldoende procedures voor rechten van de betrokkene, inadequate bewaartermijnen, ontbrekende gegevensoverdrachtsbeschermingen voor enige grensoverschrijdende analytics verwerking, en geen mechanisme om te reageren op verzoeken om verwijdering. Elk van deze tekortkomingen is een onafhankelijke overtreding van de GDPR.
Het CEF Handhaving Signaal
Het 2025 Coördinatie Handhaving Kader van de EDPB heeft specifiek "inefficiënte anonimiseringstechnieken gebruikt als alternatief voor verwijdering" geïdentificeerd als een terugkerende nalevingsfout. Deze bevinding geeft aan dat toezichthouders de kwaliteit van anonimisering evalueren, niet alleen de aanwezigheid of afwezigheid van een anonimiseringstap.
De Nederlandse Data Analytics Bedrijf Use Case illustreert de juiste aanpak: een bedrijf dat "geanonimiseerde" klantdatasets aanbiedt aan externe onderzoekers gebruikt de Redact-methode (permanente verwijdering van PII zonder tokenmapping). De resulterende dataset heeft geen pad naar heridentificatie — geen sleutel, geen token-tabel, geen hash-pre-image — en voldoet aan de drempel van Overweging 26 van de GDPR. De DPO documenteert deze bepaling in de DPIA: gebruikte methode, gedekte identificatietypes, basis van onomkeerbaarheid, beoordeling van residueel heridentificatierisico. De dataset valt buiten de reikwijdte van de GDPR. GDPR-verplichtingen (inclusief rechten van de betrokkene, bewaarlimieten en overdrachtsbeschermingen) zijn niet van toepassing op de kopieën voor extern onderzoek.
Methode Selectie op Basis van Nalevingsdoel
Buiten de reikwijdte van de GDPR (ware anonimisering): Gebruik Redact (permanente verwijdering) of Hash (van hoge-entropie, niet-raadbare waarden). Documenteer de basis van de anonimisering. Geen GDPR-verplichtingen zijn van toepassing op de output.
Binnen de reikwijdte van de GDPR met verminderde risico's (pseudonimisering): Gebruik Vervangen, Maskeren of Versleutelen. Alle GDPR-verplichtingen blijven van toepassing. De pseudonimisering vermindert het risico op schade door ongeautoriseerde toegang, maar verwijdert de reikwijdte van de GDPR niet.
Gereguleerde omkeerbaarheid (onderzoek, audit, ontdekking): Gebruik Versleutelen met door de cliënt gehouden sleutels. GDPR is van toepassing. Sleutelbewaarregelingen moeten voldoen aan de EDPB-richtlijnen 05/2022 voor sleutel scheidingseisen. Documenteer het pseudonimiseringdomein.
Bronnen: