Bij de Woo-generator is het mogelijk om de volgende alinea op te nemen bij het opstellen van een Woo-verzoek:
Bescherming persoonlijke levenssfeer
Indien u tot het oordeel komt dat het belang van bescherming van de persoonlijke levenssfeer integrale openbaarmaking van documenten in de weg staat, verzoek ik subsidiair om openbaarmaking met weglating van de persoonsgegevens, zij het dan uitsluitend van personen die niet uit hoofde van hun functie in de openbaarheid treden. Wanneer u persoonsnamen niet openbaar wilt maken verzoek ik u deze te vervangen door een nummer, zodat de betrokkenheid van eenzelfde persoon bij meerdere aspecten of situaties zichtbaar blijft, ook al is dat dan anoniem.
Gemeente weigert verzoek om pseudonimisering
Een gemeente heeft in een besluit tot openbaarmaking van anterieure overeenkomsten de volgende onderbouwing opgenomen voor níet pseudonimiseren/het toepassen van een nummering van de geaninimiseerde personen toe te passen:
Persoonsgegevens en verzoek om nummering
In de verstrekte documenten zijn persoonsgegevens van natuurlijke personen gelakt ter bescherming van de persoonlijke levenssfeer (artikel 5.1, tweede lid, onder e, Woo).Uw verzoek om de gelakte persoonsgegevens te vervangen door een nummer is beoordeeld. De Woo verplicht de gemeente echter niet tot het pseudonimiseren of nummeren van persoonsgegevens. Het college acht dit bovendien niet noodzakelijk, omdat de inhoud en betekenis van de documenten hierdoor niet wordt verduidelijkt of gewijzigd.
Om die reden zijn de persoonsgegevens uitsluitend gelakt en niet vervangen door nummers.
Ik ben blij dat er hier ten minste expliciet op het verzoek om nummering in is gegaan. In de praktijk wordt zelden gepseudonimiseerd, ook als daarom wordt verzocht.
Met welke motivering weigert deze gemeente om te pseudonimiseren?
In het genoemde Woo-besluit staat:
Uw verzoek om de gelakte persoonsgegevens te vervangen door een nummer is beoordeeld. De Woo verplicht de gemeente echter niet tot het pseudonimiseren of nummeren van persoonsgegevens. Het college acht dit bovendien niet noodzakelijk, omdat de inhoud en betekenis van de documenten hierdoor niet wordt verduidelijkt of gewijzigd.
Om die reden zijn de persoonsgegevens uitsluitend gelakt en niet vervangen door nummers.
Ik ben van mening dat dit een onvoldoende motivering is van de afweging om de volgende redenen:
- ‘De Woo verplicht de gemeente echter niet tot het pseudonimiseren of nummeren van persoonsgegevens.’: de weigeringsgrond is relatief en dus kan de interpretatie van de Woo door de rechter pseudonimiseren of zelfs openbaarmaking m.i. verplichten, zolang de persoonlijke levenssfeer geëerbiedigd wordt.
- ‘Het college acht dit bovendien niet noodzakelijk, omdat de inhoud en betekenis van de documenten hierdoor niet wordt verduidelijkt of gewijzigd.’: hierbij geeft de gemeente haar beeld of dit noodzakelijk is, maar er is niet gewogen onderbouwd dat de anonimisatie de controle op de macht niet hindert.
Naar mijn mening was de constatering dat de persoonsnamen uit een specifieke anterieure overeenkomst niet in een andere overeenkomst terugkomen een acceptabele motivatie geweest. Maar in dit geval valt niet uit te sluiten dat dezelfde functionaris in meerdere hoedanigheden terugkomen.
Uit recente jurisprudentie (ECLI:EU:C:2024:902) blijkt dat eenzelfde functionaris niet meerdere conflicterende rollen rond een mer-vergunning mag invullen wanneer het bevoegd gezag tevens initiatiefnemer is; hiervoor zijn binnen het ambtelijk apparaat chinese walls nodig. Zie ook:
Dit kan óók gelden voor anterieure overeenkomsten: in hoeverre mag een ambtenaar die een anterieure overeenkomst opstelt, ook nog betrokken zijn bij de vergunningverlening en/of de handhaving op die vergunning? Een dergelijk belangenconflict door onvoldoende functiescheiding in de administratieve organisatie en interne controle kan na anonimisatie niet achterhaald worden.
Functiescheiding binnen organisaties, en ook gemeentes, is complex. Zelfs een grote gemeente zoals 's-Hertogenbosch kent een duidelijk conflicterende dubbelfunctie tussen Functionaris Gegevensbescherming als onafhankelijke toezichthouder en CISO (zie artikel van Woeste Grond: Dubbele pet in Den Bosch leidt volgens gemeente niet tot problemen met privacy)
Eigen onderzoek naar pseudonimiseren
Hieronder volgt een klein onderzoek dat ik deed met betrekking tot het pseudonimiseren van persoonsgegevens en de uitkomsten van een aantal scans met wisselende uitkomsten.
1. Belang van pseudonimiseren in plaats van anonimiseren
Anonimiseren verwijdert de persoonsgegevens volledig, maar ontneemt burgers en journalisten de mogelijkheid om de rode draad te volgen betreffende een functionaris of persoon over meerdere documenten heen of zelfs het meerdere keren benoemen van dezelfde persoon in 1 document. De openbaarheid wordt door anonimisering dan in gevallen nutteloos: de stukken zijn geopenbaard, maar sommige essentiele controles op bestuurshandelen blijven onmogelijk.
Pseudonimiseren is een middenweg tussen anonimisatie en volledige benoeming: persoonsgegevens worden beschermd doordat namen en identificerende gegevens zijn afgeschermd, maar de samenhang in de stukken blijft zichtbaar doordat dezelfde persoon consequent hetzelfde pseudoniem of nummer krijgt. Daarmee wordt voldaan aan de relatieve weigeringsgrond 5.1.2e, maar met behoud van de functionele bruikbaarheid van de openbaar gemaakte informatie.
Vanuit een rechtsstatelijk perspectief is pseudonimiseren daarom beter dan anonimiseren. Het maakt controle van de macht beter mogelijk, met indien juist uitgevoerd geen of een beperkte invloed op privacy.
Pseudonimiseren is echter niet triviaal. Er zijn legio voorbeelden waarin via statistische technieken en inzichten onvoorziene kruisverbanden vastgesteld kunnen worden en personen achterhaald. Een eenvoudig voorbeeld is het vervangen van de naam van een niet-naar buiten tredende ambtenaar die als jurist gespecialiseerd is in de mer. Bij een grote gemeente zijn er mogelijk meerdere mer-juristen actief en is een vervanging ‘[mer-jurist]’ een goede pseudonimisering, maar in een kleine gemeente is dit via LinkedIn direct herleidbaar naar een specifieke persoon.
Sommige dataverwerkingsplatformen kennen methodes om over grote datasets heen een effectieve pseudonimisering uit te voeren (zie Pseudonymizing a Data Warehouse the Swiss Way - invantive), maar de praktijk is dat ook bij grote nationale en internationale partijen grote hoeveelheden persoonsgegevens, bijzondere persoonsgegevens en tot personen herleidbare informatie voor grote groepen medewerkers van de eigen organisatie en leveranciers toegankelijk zijn, ook als er geen noodzaak is tot deze toegang.
2. Hoe doen andere overheidsinstanties het?
- Scan: pseudonimisering rechtspraak
De rechtbank openbaart rechterlijke beslissingen, maar beschermt hierbij de privacy van personen in lijn met de pseudonimiseringsrichtlijn:
https://www.rechtspraak.nl/Uitspraken/Paginas/Pseudonimiseringsrichtlijn.aspx
Hierbij worden de rol en een volgnummer gehanteerd om een natuurlijke persoon als procespartij te identificeren binnen een beslissing. Er is geen consistente nummering over meerdere beslissingen heen; je kunt dus niet zien dat de niet-professionele procespartij dhr. Pietersen in twee ECLI-nummers naar voren komt.
Merk op dat de huidige pseudonimiseringsrichtlijn voor stichtingen met een klein bestuur de namen niet pseudonimiseert, dus daar zit nog wel een puntje van zorg (Regiegroep Digitaal Platform).
- Scan: nummering onder de Wob
Nederlands Forensisch Instituut (Ministerie J&V), 31 maart 2021, kenmerk 21-DIR-036 betreffende ‘Aanvullend besluit op Wob-verzoek van 3 december 2020’, te vinden op:
Pagina 4:
5.3 De eerbiediging van de persoonlijke levenssfeer
In de documenten met nummers 37-43, 45, 51 en 53-54 staat informatie die raakt aan de persoonlijke levenssfeer. Ik ben van oordeel dat het belang dat de persoonlijke levenssfeer wordt geëerbiedigd, zwaarder moet wegen dan het belang van openbaarheid. Ik zal daarom deze informatie niet verstrekken. Voor zover het de namen van ambtenaren betreft is hierbij het volgende van belang. Er kan, waar het gaat om beroepshalve functioneren van ambtenaren, slechts in beperkte mate een beroep worden gedaan op het belang van eerbiediging van hun persoonlijke levenssfeer. Dit ligt anders indien het betreft het openbaar maken van namen van de ambtenaren. Namen zijn immers persoonsgegevens en het belang van eerbiediging van de persoonlijke levenssfeer kan zich tegen het openbaar maken daarvan verzetten. Daarbij is van belang dat het hier niet gaat om het opgeven van een naam aan een individuele burger die met een ambtenaar in contact treedt, maar om openbaarmaking van de naam in de zin van de Wob.
U heeft verzocht om de persoonsnamen te vervangen door een nummer, zodat de betrokkenheid van eenzelfde persoon bij meerdere aspecten of situaties zichtbaar blijft. Aan dit verzoek heb ik voldaan. Achter de verwijzing 10.2.e in de documenten staat een cijfer vermeld dat steeds correspondeert met een en dezelfde persoon die betrokken is.
- Scan: jurisprudentie
Alhoewel ‘pseudonimiseren’ in elke uitspraak-URL voorkomt in de kop, is er maar 1 enkele uitspraak (ECLI:NL:CBB:2012:BV8297) waarin pseudonimiseren voorkomt in de argumentatie over DBC’s en herleidbaarheid.
De uitspraak ECLI:NL:RBMNE:2023:4421 behelst een Woo-verzoeker die niet blij is met het actief openbaar maken van het besluit op zijn Woo-verzoek en dat uit de context van de bestuurlijke aangelegenheid en termen zoals ‘buurman’ een relatie gelegd kan worden naar de Woo-verzoeker. Dit is wel vaker een voorkomend probleem bij pseudonimisering. Des te groter het aantal bronnen met een herleidbaar pseudoniem, des te groter de kans op identificatie. Onderzoeksjournalisten gebruiken bijvoorbeeld een programmaatje om op honderden social mediaplatformen een gelijkluidend pseudoniem op te zoeken, om vervolgens kruiselings meer (mogelijke) dwarsverbanden te kunnen leggen omdat mensen vaak hetzelfde pseudoniem gebruiken. In bijvoorbeeld Zweden of de VS is sowieso het aantal relaties dat gelegd kan worden vele malen groter, maar in Nederland is men zoekend, mede omdat m.i. de informatiehuishouding in het algemeen slecht op orde is.
In de uitspraak ECLI:NL:RBMNE:2024:2451 wordt ingegaan op het anonimiseren van adressen, waarbij specifiek gevraagd is naar die adressen rondom een handhavingstraject. Aangezien, net zoals in de vorige uitspraak, het adres onderdeel is van de bestuurlijke aangelegenheid, worden ze niet geanonimiseerd en niet gepseudonimiseerd.
- Scan: Gemeente Amsterdam
De ‘Anonimiseringsrichtlijn voor het openbaar maken van informatie’ van de gemeente Amsterdam:
Hierin wordt wel gerefereerd aan anonimiseren (1 richting uit) en pseudonimiseren (herleidbaar anonimiseren, in principe bijectief als de vertaaltabel beschikbaar is). In deze richtlijn wordt pseudonimiseren niet verder uitgewerkt, maar blijkens de samenvatting moet er in ‘Stap 3’ (pagina 4) wel een afweging gemaakt worden tussen het belang van privacy en bescherming van de persoonlijke levenssfeer. In stap 5 wordt niet vastgelegd of onleesbaar maken anonimiseren is of pseudonimiseren. Op pagina 7 wordt dat expliciet gemaakt als zijnde anonimiseren.
Mijn vraag: is pseudonimisering afdwingbaar?
Persoonlijk ben ik van mening dat pseudonimisering in relevante gevallen afdwingbaar moet zijn, zoals in het voorbeeld van een ambtenaar die door elkaar heen op eenzelfde vergunning de handhaving, vergunningverlening en opstellen anterieure overeenkomst behandelt. Ik kon hiervoor echter buiten principes weinig cases vinden.
Houdt het weigeren van een overheidsinstantie om te pseudonimiseren stand bij de rechter?