De Woo-generator kan de volgende tekst opnemen in een Woo-verzoek:
Bescherming persoonlijke levenssfeer
Indien u tot het oordeel komt dat het belang van bescherming van de persoonlijke levenssfeer integrale openbaarmaking van documenten in de weg staat, verzoek ik subsidiair om openbaarmaking met weglating van de persoonsgegevens, zij het dan uitsluitend van personen die niet uit hoofde van hun functie in de openbaarheid treden. Wanneer u persoonsnamen niet openbaar wilt maken verzoek ik u deze te vervangen door een nummer, zodat de betrokkenheid van eenzelfde persoon bij meerdere aspecten of situaties zichtbaar blijft, ook al is dat dan anoniem.
In een besluit hierop tot openbaarmaking anterieure overeenkomsten van een gemeente is de volgende onderbouwing opgenomen om geen nummering toe te passen:
Persoonsgegevens en verzoek om nummering
In de verstrekte documenten zijn persoonsgegevens van natuurlijke personen gelakt ter
bescherming van de persoonlijke levenssfeer (artikel 5.1, tweede lid, onder e, Woo).Uw verzoek om de gelakte persoonsgegevens te vervangen door een nummer is beoordeeld. De Woo verplicht de gemeente echter niet tot het pseudonimiseren of nummeren van
persoonsgegevens. Het college acht dit bovendien niet noodzakelijk, omdat de inhoud en betekenis van de documenten hierdoor niet wordt verduidelijkt of gewijzigd.
Om die reden zijn de persoonsgegevens uitsluitend gelakt en niet vervangen door nummers.
Ik ben blij dat men hier expliciet op ingaat. In de praktijk wordt zelden gepseudonimiseerd, ook als daarom wordt verzocht.
Het gaat om niet-milieu informatie, dus volgens mij is het toepassen van 5.1.2e een relatieve weigeringsgrond. De basis voor dit spanningsveld vormen volgens mij artikel 10 Gw (privacy) en artikel 110 Gw (openbaarheid uitvoering taak overheid), wat ook weer internationaal terugkomt in artikel 8 EVRM (privacy) en artikel 10 EVRM (toegang informatie). Qua implementatie is het AVG versus Woo.
Onderstaand een stukje context en de uitkomsten van een korte scan met wisselende uitkomsten.
Belang van pseudonimiseren in plaats van anonimiseren
Anonimiseren verwijdert de persoonsgegevens volledig, maar ontneemt burgers en journalisten de mogelijkheid om de rode draad te volgen betreffende een functionaris of persoon over meerdere documenten heen of zelfs meerdere keren dezelfde persoon benoemen in 1 document. De openbaarheid wordt door anonimisering dan in gevallen nutteloos: de stukken zijn geopenbaard, maar sommige essentiele controles op bestuurshandelen blijven onmogelijk.
Pseudonimiseren is een middenweg tussen anonimisatie en volledige benoeming: persoonsgegevens worden beschermd doordat namen en identificerende gegevens zijn afgeschermd, maar de samenhang in de stukken blijft zichtbaar doordat dezelfde persoon consequent hetzelfde pseudoniem of nummer krijgt. Daarmee wordt voldaan aan de relatieve weigeringsgrond 5.1.2e, maar met behoud van de functionele bruikbaarheid van de openbaar gemaakte informatie.
Vanuit een rechtsstatelijk perspectief is pseudonimiseren daarom beter dan anonimiseren. Het maakt controle van de macht beter mogelijk, met indien juist uitgevoerd geen of een beperkte invloed op privacy.
Pseudonimiseren is echter niet triviaal. Er zijn legio voorbeelden waarin via statistische technieken en inzichten onvoorziene kruisverbanden vastgesteld kunnen worden en personen achterhaald. Een eenvoudig voorbeeld is het vervangen van de naam van een niet-naar buiten tredende ambtenaar die als jurist gespecialiseerd is in de mer. Bij een grote gemeente zijn er mogelijk meerdere mer-juristen actief en is een vervanging “[mer-jurist]” een goede pseudonimisering, maar in een kleine gemeente is dit via LinkedIn direct herleidbaar naar een specifieke persoon.
Sommige dataverwerkingsplatformen kennen methodes om over grote datasets heen een effectieve pseudonimisering uit te voeren (zie https://forums.invantive.com/t/pseudonymizing-a-data-warehouse-the-swiss-way/922), maar de praktijk is dat ook bij grote nationale en internationale partijen grote hoeveelheden persoonsgegevens, bijzondere persoonsgegevens en tot personen herleidbare informatie voor grote groepen medewerkers van de eigen organisatie en leveranciers toegankelijk zijn, ook als er geen noodzaak is tot deze toegang.
Scan: pseudonimisering rechtspraak
De rechtbank openbaart rechterlijke beslissingen, maar beschermt hierbij de privacy van personen in lijn met de pseudonimiseringsrichtlijn:
https://www.rechtspraak.nl/Uitspraken/Paginas/Pseudonimiseringsrichtlijn.aspx
waarbij de rol en een volgnummer gehanteerd worden om een natuurlijke persoon als procespartij te identificeren binnen een beslissing. Er is geen consistente nummering over meerdere beslissingen heen; je kunt dus niet zien dat de niet-professionele procespartij dhr. Pietersen in twee ECLI-nummers naar voren komt.
Merk op dat de huidige pseudonimiseringsrichtlijn voor stichtingen met een klein bestuur de namen niet pseudonimiseert, dus daar zit nog wel een puntje van zorg (Regiegroep Digitaal Platform).
Scan: wel nummering (Wob)
Nederlands Forensisch Instituut (Ministerie J&V), 31 maart 2021, kenmerk 21-DIR-036 betreffende “Aanvullend besluit op Wob-verzoek van 3 december 2020”, te vinden op:
Pagina 4:
5.3 De eerbiediging van de persoonlijke levenssfeer
In de documenten met nummers 37-43, 45, 51 en 53-54 staat informatie die raakt aan de persoonlijke levenssfeer. Ik ben van oordeel dat het belang dat de persoonlijke levenssfeer wordt geëerbiedigd, zwaarder moet wegen dan het belang van openbaarheid. Ik zal daarom deze informatie niet verstrekken. Voor zover het de namen van ambtenaren betreft is hierbij het volgende van belang. Er kan, waar het gaat om beroepshalve functioneren van ambtenaren,
slechts in beperkte mate een beroep worden gedaan op het belang van eerbiediging van hun persoonlijke levenssfeer. Dit ligt anders indien het betreft het openbaar maken van namen van de ambtenaren. Namen zijn immers persoonsgegevens en het belang van eerbiediging van de persoonlijke levenssfeer kan zich tegen het openbaar maken daarvan verzetten. Daarbij is van belang dat het hier niet gaat om het opgeven van een naam aan een individuele burger die
met een ambtenaar in contact treedt, maar om openbaarmaking van de naam in de zin van de Wob.
U heeft verzocht om de persoonsnamen te vervangen door een nummer, zodat de betrokkenheid van eenzelfde persoon bij meerdere aspecten of situaties zichtbaar blijft. Aan dit verzoek heb ik voldaan. Achter de verwijzing 10.2.e in de documenten staat een cijfer vermeld dat steeds correspondeert met een en dezelfde persoon die betrokken is.
Scan: jurisprudentie
Alhoewel “pseudonimiseren” in elke uitspraak-URL voorkomt in de kop, is er maar 1 enkele uitspraak (ECLI:NL:CBB:2012:BV8297) waarin pseudonimiseren voorkomt in de argumentatie over DBC’s en herleidbaarheid.
De uitspraak https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:RBMNE:2023:4421 behelst een Woo-verzoeker die niet blij is met het actief openbaar maken van besluit op zijn Woo-verzoek en dat uit de context van de bestuurlijke aangelegenheid en termen zoals “buurman” een relatie gelegd kan worden naar de Woo-verzoeker. Dit is wel vaker een voorkomend probleem bij pseudonimisering. Des te groter het aantal bronnen met een herleidbaar pseudoniem, des te groter de kans op identificatie. Onderzoeksjournalisten gebruiken bijvoorbeeld een programmaatje om op honderden social mediaplatformen een gelijkluidend pseudoniem op te zoeken, om vervolgens kruiselings meer (mogelijke) dwarsverbanden te kunnen leggen omdat mensen vaak hetzelfde pseudoniem gebruiken. In bijvoorbeeld Zweden of de VS is sowieso het aantal relaties dat gelegd kan worden vele malen groter, maar in Nederland is men zoekend, mede omdat m.i. de informatiehuishouding in het algemeen slecht op orde is.
In de uitspraak ECLI:NL:RBMNE:2024:2451 wordt ingegaan op het anonimiseren van adressen, waarbij specifiek gevraagd is naar die adressen rondom een handhavingstraject. Aangezien, net zoals in de vorige uitspraak, het adres onderdeel is van de bestuurlijke aangelegenheid, worden ze niet geanonimiseerd en niet gepseudonimiseerd.
Scan: Gemeente Amsterdam
In de “Anonimiseringsrichtlijn voor het openbaar maken van informatie” van de gemeente Amsterdam:
wordt wel gerefereerd aan anonimiseren (1 richting uit) en pseudonimiseren (herleidbaar anonimiseren, in principe bijectief als de vertaaltabel beschikbaar is). In deze richtlijn wordt pseudonimiseren niet verder uitgewerkt, maar blijkens de samenvatting moet er in “Stap 3” (pagina 4) wel een afweging gemaakt worden tussen het belang van privacy en bescherming van de persoonlijke levenssfeer. In stap 5 wordt niet vastgelegd of onleesbaar maken anonimiseren is of pseudonimiseren. Op pagina 7 wordt dat expliciet gemaakt als zijnde anonimiseren.
Woo-besluit
Het Woo-besluit haalt aan dat:
Uw verzoek om de gelakte persoonsgegevens te vervangen door een nummer is beoordeeld. > De Woo verplicht de gemeente echter niet tot het pseudonimiseren of nummeren van
persoonsgegevens. Het college acht dit bovendien niet noodzakelijk, omdat de inhoud en betekenis van de documenten hierdoor niet wordt verduidelijkt of gewijzigd.
Om die reden zijn de persoonsgegevens uitsluitend gelakt en niet vervangen door nummers.
Ik ben van mening dat dit een onvoldoende motivering is van de afweging om de volgende redenen:
- “De Woo verplicht de gemeente echter niet tot het pseudonimiseren of nummeren van
persoonsgegevens.”: de weigeringsgrond is relatief en dus kan de interpretatie van de Woo door de rechter pseudonimiseren of zelfs openbaarmaking m.i. verplichten, zolang de persoonlijke levenssfeer geëerbiedigd wordt. - “Het college acht dit bovendien niet noodzakelijk, omdat de inhoud en betekenis van de documenten hierdoor niet wordt verduidelijkt of gewijzigd.”: hierbij geeft de gemeente haar beeld of dit noodzakelijk is, maar er is niet gewogen onderbouwd dat de anonimisatie de controle op de macht hindert.
Op dit moment lijkt het wel of niet pseudonimiseren van ondergeschikt belang voor dit Woo-verzoek, dus een bezwaar en eventuele rechtsgang niet waard.
Een betere onderbouwing was bijvoorbeeld geweest de constatering dat de persoonsnamen uit een specifieke anterieure overeenkomst niet in een andere overeenkomst terugkomen. Een resterend punt waar deze motivatie faalt is dat het niet valt uit te sluiten dat dezelfde functionaris in meerdere hoedanigheden terugkomen.
Uit recente jurisprudentie (ECLI:EU:C:2024:902) blijkt dat eenzelfde functionaris bijvoorbeeld niet meerdere conflicterende rollen rond een mer-vergunning mag invullen wanneer het bevoegd gezag tevens initiatiefnemer is; hiervoor zijn binnen het ambtelijk apparaat chinese walls nodig. Zie ook:
Dit kan ook gelden voor anterieure overeenkomsten: in hoeverre mag een ambtenaar die een anterieure overeenkomst opstelt, ook nog betrokken zijn bij de vergunningverlening en/of de handhaving op die vergunning? Een dergelijk belangenconflict door onvoldoende functiescheiding in de administratieve organisatie en interne controle kan na anonimisatie niet achterhaald worden.
Functiescheiding binnen organisaties, en ook gemeentes, is complex. Zelfs een grote gemeente zoals 's-Hertogenbosch kent een duidelijk conflicterende dubbelfunctie tussen Functionaris Gegevensbescherming als onafhankelijke toezichthouder en CISO (zie artikel van Woeste Grond: Dubbele pet in Den Bosch leidt volgens gemeente niet tot problemen met privacy)
Vraagstelling
Persoonlijk ben ik van mening dat pseudonimisering in relevante gevallen afdwingbaar moet zijn, zoals in het voorbeeld van een ambtenaar die door elkaar heen op eenzelfde vergunning de handhaving, vergunningverlening en opstellen anterieure overeenkomst behandelt. Ik kon hiervoor echter buiten principes weinig cases vinden.
Uiteindelijk blijven daarom twee vragen waar ik mee worstel:
- Zal het verzoek om pseudonimisering ooit standhouden bij de rechter? Onder de Wob is het ooit toegekend, maar zelfs uitgaande dat legaliteitsbeginsel is toegepast: de Wob met haar jurisprudentie is niet ingebracht in de Woo (artikel 10).
- En welke invloed heeft dit wel of niet instandhouden van de tekst die de Woo-generator opstelt? Moet die tekst weg of anders geformuleerd?