Het cruciale verschil onder de AVG: geanonimiseerde gegevens vallen buiten de AVG omdat niemand er nog een persoon uit kan herleiden, terwijl gepseudonimiseerde gegevens gewoon persoonsgegevens blijven — de herleiding is alleen moeilijker gemaakt, niet onmogelijk. Anonimisering is onomkeerbaar en haalt gegevens uit het toepassingsgebied van de AVG; pseudonimisering (bijvoorbeeld een naam vervangen door een code met een aparte sleutel) is een beveiligingsmaatregel die de gegevens binnen de AVG houdt. Wie deze twee verwart, denkt ten onrechte dat de AVG niet meer geldt en schendt daarmee vaak de wet.
De lat voor echte anonimisering ligt hoog. Als er ergens een sleutel of aanvullende gegevens bestaan waarmee herleiding mogelijk is, is het geen anonimisering maar pseudonimisering.
Key Takeaways
- Anoniem = onomkeerbaar niet-herleidbaar = buiten de AVG. Pseudoniem = herleidbaar met extra gegevens = persoonsgegeven.
- Pseudonimisering is een expliciet erkende maatregel in art. 4 lid 5 en art. 32 AVG, maar geen ontsnapping aan de AVG.
- De Breyer-toets (EU-Hof, 2016) beoordeelt of herleiding redelijkerwijs mogelijk is — de relatieve benadering.
- Technieken (hashing, tokenisatie, aggregatie, k-anonimiteit) hebben elk hun faalmodus; een zwakke techniek levert schijnanonimisering.
- Voor onderzoek en analytics is pseudonimisering vaak de juiste, werkbare route — mét grondslag en waarborgen.
De juridische grens: wanneer is iets anoniem?
De AVG geldt voor persoonsgegevens: informatie over een geïdentificeerde of identificeerbare persoon. De vraag is dus of iemand nog identificeerbaar is. Overweging 26 van de AVG verwijst naar “alle middelen waarvan redelijkerwijs valt te verwachten” dat ze worden ingezet om te herleiden — kosten, tijd en beschikbare technologie meegewogen.
Het EU-Hof gaf in de Breyer-zaak (C-582/14, 19 oktober 2016) de maatstaf: een dynamisch IP-adres is voor een websitebeheerder een persoonsgegeven als hij langs wettelijke weg redelijkerwijs bij een derde de aanvullende gegevens kan verkrijgen om te herleiden. Dit is de relatieve benadering: of gegevens persoonsgegevens zijn, hangt af van de middelen die deze partij redelijkerwijs kan inzetten. Het EU-Hof heeft deze lijn in latere rechtspraak over pseudonimisering (o.a. de zaak tussen de EDPS en de Single Resolution Board) verder verfijnd: gegevens die voor de ontvanger niet redelijkerwijs herleidbaar zijn, kunnen voor die ontvanger anoniem zijn, ook al zijn ze dat voor de verstrekker niet.
Deze nuance is meer dan academisch: ze bepaalt of u de beginselen van artikel 5 en een grondslag uit artikel 6 nodig heeft. Bij echte anonimisering: nee. Bij pseudonimisering: ja.
De relatieve benadering heeft een praktische keerzijde die veel organisaties missen. Omdat identificeerbaarheid afhangt van de middelen die een specifieke partij redelijkerwijs kan inzetten, kan dezelfde dataset voor de ene partij persoonsgegevens zijn en voor de andere anoniem. Een onderzoeksinstelling die alleen gecodeerde data ontvangt zonder toegang tot de sleutel, kan die data als anoniem behandelen, terwijl ze voor de instelling die de sleutel beheert wél persoonsgegevens blijven. Dit maakt contractuele en technische scheiding cruciaal: wie de sleutel niet heeft en er langs geen redelijke weg bij kan, zit in een andere juridische positie dan wie de sleutel beheert. Leg die scheiding daarom hard vast, want ze bepaalt welke verplichtingen op wie rusten.
Technieken en hun faalmodus
| Techniek | Wat het doet | Faalmodus |
|---|---|---|
| Hashing | Vervangt waarde door vaste hash | Omkeerbaar via rainbow tables bij kleine waardebereiken (bv. BSN, e-mail) |
| Tokenisatie | Vervangt waarde door token met aparte sleutel | Sleutel bestaat nog → pseudonimisering, geen anonimisering |
| Aggregatie | Toont alleen groepstotalen | Kleine groepen zijn alsnog herleidbaar |
| k-anonimiteit | Elke combinatie komt ≥ k keer voor | Kwetsbaar voor koppelaanvallen met externe data |
De klassieke fout is een e-mailadres of BSN hashen en denken dat het daarmee anoniem is. Omdat het waardebereik beperkt en de invoer raadbaar is, is de hash met een woordenboekaanval te herleiden — het blijft een persoonsgegeven. Aggregatie faalt bij kleine cellen: “één werknemer in vestiging X met ziektebeeld Y” is de facto herleidbaar.
Wanneer pseudonimiseren, wanneer anonimiseren?
Kies pseudonimisering als u de gegevens later nog moet kunnen koppelen — bijvoorbeeld longitudinaal onderzoek of fraudedetectie. Het is een erkende beveiligingsmaatregel onder artikel 32 AVG en telt mee in het voordeel van verenigbaar verder gebruik onder doelbinding. Bewaar de sleutel strikt gescheiden en beperk de toegang.
Kies anonimisering alleen als u zeker weet dat herleiding onomkeerbaar onmogelijk is — dan pas mag u zeggen dat de AVG niet meer geldt. Dat is zeldzamer dan organisaties denken. Bij twijfel behandelt u de gegevens als pseudoniem, dus als persoonsgegevens. Bij grootschalige of gevoelige verwerkingen hoort deze afweging in een DPIA thuis.
De EDPB publiceert richtsnoeren over pseudonimisering, en de Autoriteit Persoonsgegevens behandelt schijnanonimisering als een gewone verwerking op haar website. Verwerkt u internationaal, dan speelt pseudonimisering ook een rol bij doorgifte naar derde landen als aanvullende waarborg.
Voor teams die veel datasets pseudonimiseren, helpt het om per dataset vast te leggen welke techniek is gebruikt, waar de sleutel staat en welke grondslag geldt. Een platform zoals Legiscope verankert die keuzes per verwerking, zodat u kunt aantonen dat pseudonieme data ook als persoonsgegevens worden beheerd.
Pseudonimisering als beveiligings- en compliancemaatregel
Hoewel pseudonimisering de AVG niet uitschakelt, is het een van de krachtigste maatregelen die de verordening kent. De AVG beloont het op meerdere plaatsen. Het telt mee als technische beveiligingsmaatregel onder artikel 32, het versterkt uw positie in de verenigbaarheidstoets bij verder gebruik, en het verkleint de impact van een datalek — als de sleutel gescheiden blijft, is een uitgelekte pseudonieme dataset veel minder schadelijk.
Om pseudonimisering effectief te maken, gelden een paar harde regels:
- Scheid de sleutel fysiek en organisatorisch van de gepseudonimiseerde data. Ligt de sleutel in dezelfde database, dan is de maatregel waardeloos.
- Beperk de toegang tot de sleutel tot een minimale kring en log elk gebruik.
- Voorkom koppelaanvallen door quasi-identificatoren (postcode, geboortedatum, geslacht) te generaliseren of te verwijderen.
- Documenteer de methode per dataset, zodat u kunt aantonen welke techniek is toegepast.
Een terugkerende misvatting is dat pseudonimisering en anonimisering een glijdende schaal zijn waarop u “voldoende” ver kunt schuiven om buiten de AVG te vallen. Dat is niet zo: het is een binaire juridische kwalificatie. Zolang herleiding met redelijkerwijs beschikbare middelen mogelijk blijft — via een sleutel, aanvullende gegevens of koppeling met andere bronnen — zijn het persoonsgegevens en geldt de AVG volledig. Pas wanneer die drempel onomkeerbaar is overschreden, is er sprake van anonimisering. Behandel bij twijfel de gegevens dus als pseudoniem; dat is niet alleen juridisch veilig, maar ook de enige verdedigbare positie bij een controle.
FAQ
Wat is het verschil tussen anonimiseren en pseudonimiseren?
Anonimiseren maakt herleiding onomkeerbaar onmogelijk; de gegevens vallen dan buiten de AVG. Pseudonimiseren maakt herleiding alleen moeilijker (via een aparte sleutel of aanvullende gegevens); de gegevens blijven persoonsgegevens en de AVG blijft volledig gelden.
Zijn gehashte gegevens anoniem?
Meestal niet. Bij een klein of raadbaar waardebereik (e-mailadres, BSN, telefoonnummer) is een hash met een woordenboek- of rainbow-table-aanval te herleiden. Zonder aanvullende maatregelen zoals salting en een geheime sleutel blijft een hash een persoonsgegeven.
Heb ik een grondslag nodig voor gepseudonimiseerde gegevens?
Ja. Omdat gepseudonimiseerde gegevens persoonsgegevens blijven, heeft u een rechtsgrond uit artikel 6 AVG nodig en gelden alle AVG-plichten, inclusief de rechten van betrokkenen. Pseudonimisering vermindert het risico, maar heft de AVG niet op.
Wanneer geldt de AVG niet meer voor mijn data?
Alleen wanneer de gegevens echt anoniem zijn: niemand kan er met redelijkerwijs beschikbare middelen nog een persoon uit herleiden, ook niet door koppeling met andere datasets. Die drempel is hoog; bij enige twijfel behandelt u de gegevens als persoonsgegevens.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial