Article URL: https://worksinprogress.co/issue/magical-systems-thinking/

Comments URL: https://news.ycombinator.com/item?id=45233266

Points: 258

# Comments: 80

Article URL: https://spectrum.ieee.org/e-paper-display-modos

Comments URL: https://news.ycombinator.com/item?id=45185756

Points: 332

# Comments: 95

Wanneer is een gegeven een persoonsgegeven? Maakt het daarbij uit dat je een ander nodig hebt om de identificatie rond te krijgen? Deze vragen leiden al jaren in de AVG-wereld tot felle discussies. Maar nu heeft het Hof van Justitie in het SRB-arrest de knoop doorgehakt; de ‘relativisten’ hebben gewonnen.

De achtergrond van het arrest is simpel genoeg. In 2017 werd de Spaanse Banco Popular Español overgenomen, wat goedkeuring van de Europese Commissie vergde. Na de afwikkeling werd audit- en advieskantoor Deloitte gevraagd om een onderzoek te doen, waarbij ze geanonimiseerde opmerkingen en zienswijzes van betrokkenen kreeg.

Of nou ja, geanonimiseerd: de namen en zo waren vervangen door alfanumerieke codes. Pseudonimiseren, noemt de AVG dat. Voor Deloitte onmogelijk te herleiden, tenzij de  verstrekkende partij (de Gemeenschappelijke Afwikkelingsraad, GAR) mee zou werken. En dat maakt uit, want een aantal mensen was geërgerd door deze verstrekking omdat de GAR niet had gezegd dat dit zou gebeuren.

Persoonsgegevens delen zonder informatie is niet toegestaan onder de AVG (hier dan verordening 2018/1725, de “AVG voor Europese instellingen”). Vandaar dat de vraag ontstond: zíjn het eigenlijk wel persoonsgegevens, die lijsten met codes die aan Deloitte waren verstrekt.

Enerzijds: ja, want je kunt ze terug herleiden als je de medewerking van de GAR krijgt. En sinds het Breyer-arrest weten we dat het daarvoor genoeg is dat je “wettige middelen” hebt die met een redelijke inspanning leiden tot de personen. Je kunt de NAW-gegevens achter een IP-adres bij de rechter opeisen, dus IP-adressen zijn persoonsgegevens.

Anderzijds: zijn ze dan altijd persoonsgegevens, of alleen voor de mensen die in staat zijn die herleiding te doen? Het is raar dat voor mij 192.168.3.41 een persoonsgegeven is, omdat stichting BREIN bij de rechter de NAW-gegevens kan opvragen zeg maar.

Het Hof brengt dan ook een belangrijke nuancering aan. Als jij zelf niet in staat bent de pseudonimisering ongedaan te maken, dan zijn de gegevens voor jou geen persoonsgegevens:

Dit veronderstelt echter ten eerste dat Deloitte bij iedere onder haar toezicht verrichte verwerking van [de zienswijzes en opmerkingen van de klanten] geen mogelijkheid heeft om deze maatregelen ongedaan te maken. Ten tweede moeten die maatregelen daadwerkelijk van dien aard zijn dat zij Deloitte ook beletten om diezelfde opmerkingen te koppelen aan de betrokken persoon door gebruik te maken van andere identificatiemiddelen, zoals een vergelijking met andere elementen, zodat de betrokkene voor deze vennootschap niet of niet meer identificeerbaar is.

Bij jou ligt dan dus wel de bal om aan te tonen dat je die herleiding niet kunt doen. Ja, dat is een omgekeerde bewijslast, maar omdat de hoofdregel toch al was dat het persoonsgegevens zijn is dat hier wel redelijk.

Het is dus een opsteker voor informatiebeveiliging en efficiënt werken: als je persoonsgegevens goed ontdoet van herleidbare informatie, dan kun je een ander er mee laten werken zonder dat die de hele AVG-rambam over zich heen krijgt. En omdat de bewijslast ligt bij de partij die meent dat de gegevens niet (meer) herleidbaar zijn, is het risico daarmee goed te managen.

Arnoud

Het bericht Persoonsgegevens zijn dat alleen als je zelf de personen kunt identificeren verscheen eerst op Ius Mentis.

Article URL: https://sethpurcell.com/writing/screens-in-museums/

Comments URL: https://news.ycombinator.com/item?id=45199931

Points: 765

# Comments: 268

Article URL: https://www.abortretry.fail/p/the-story-of-creative-technology

Comments URL: https://news.ycombinator.com/item?id=45162501

Points: 150

# Comments: 97

Article URL: https://ijmacd.github.io/rfc3339-iso8601/

Comments URL: https://news.ycombinator.com/item?id=45155179

Points: 173

# Comments: 137