De gegevens van de kat van Schrödinger
In het dagelijks verkeer lijkt het antwoord op de vraag “is dit een persoonsgegeven?” vaak eenvoudig: een naam, e-mailadres of IP-adres wordt meestal zonder moeite als zodanig herkend. Maar deze vanzelfsprekendheid verhult een complexer juridisch fundament. In de praktijk blijken gegevens — zoals “Jan de Vries” — namelijk niet altijd onder de definitie van een persoonsgegeven te vallen.
De Algemene Verordening Gegevensbescherming (AVG) biedt hiervoor geen absoluut criterium, maar hanteert een relatieve, doch objectief getoetste norm. Deze paradox werd treffend geïllustreerd in de zaak Breyer (HvJ EU, C-582/14), waarin de Duitse overheid een dynamisch IP-adres van een websitebezoeker opsloeg ter detectie van cyberaanvallen. Alleen de internetprovider kon de gebruiker daadwerkelijk identificeren.
Het Hof van Justitie oordeelde dat het IP-adres tóch een persoonsgegeven kon zijn — maar alleen ten opzichte van een verwerkingsverantwoordelijke die, met redelijke en rechtmatige middelen, toegang had (of kon krijgen) tot die aanvullende informatie. Het persoonsgegeven blijkt dus als het ware tegelijk wél én niet te bestaan, afhankelijk van wie het bekijkt en welke middelen deze kan inzetten.
Conclusie
Een gegeven is alleen een persoonsgegeven als een verwerkingsverantwoordelijke — al dan niet via derden — een natuurlijke persoon redelijkerwijs kan identificeren. Deze identificatiebevoegdheid is relatief (wie ben jij als verantwoordelijke?), maar de beoordeling daarvan is objectief: wat mag juridisch en praktisch van jou worden verwacht?
Zo kan een gegeven voor partij A wél een persoonsgegeven zijn, terwijl dat voor partij B niet het geval is. Denk aan een instantie die via gerechtelijke weg gegevens mag opvragen (zoals in Breyer) versus een particulier bedrijf dat geen toegang heeft tot die middelen.
Belangrijke overwegingen
1. De relatieve maar objectieve test
Artikel 4 lid 1 AVG definieert een persoonsgegeven als informatie waarmee een natuurlijke persoon direct of indirect identificeerbaar is. Recital 26 verduidelijkt: men moet kijken naar “alle middelen die redelijkerwijs kunnen worden gebruikt”, ook door derden. Denk aan publieke bronnen, wettelijke bevoegdheden of praktische samenwerkingen.
Deze beoordeling is objectief: niet wat jij als organisatie daadwerkelijk kunt, maar wat je redelijkerwijs zou kunnen.
Deze beoordeling is objectief: niet wat jij als organisatie daadwerkelijk kunt, maar wat je redelijkerwijs zou kunnen.
2. De Schrödinger Paradox in de praktijk
De naam “Jan de Vries” is een mooi voorbeeld. In een klein dorp is deze naam eenvoudig herleidbaar; in Amsterdam met duizenden naamgenoten juist niet. De status van het gegeven zweeft dus — net als Schrödingers kat — tussen wel en niet identificeerbaar. Pas als we de context en middelen beoordelen, “openen we de doos” en weten we of het gegeven levend (identificeerbaar) of dood (anoniem) is.
3. De Breyer-doctrine
In de Breyer-zaak concretiseerde het Hof dit principe. De Duitse websitebeheerder kon via een juridisch toegestane weg het IP-adres koppelen aan een persoon via de internetprovider. Die mogelijkheid maakte het IP-adres een persoonsgegeven in zijn context.
Dit onderstreept: het gaat niet om het gegeven zelf, maar om de positionering van de verantwoordelijke en de middelen die deze geacht wordt te kunnen aanwenden.