SRB is totaal oninteressant voor 95% van de DPO’s

Datum
17.02.2026

Geschreven door: Bart Van Buitenen

EDPS v SRB is totaal oninteressant voor 95% van de DPO’s

“There I said it.” Nu het stof wat is gaan liggen en de stroom Linkedin posts waarin men de finesses van de definitie van persoonsgegevens blootlegt ook wat is opgedroogd, is het tijd om even stil te staan bij wat de DPO op het terrein nu eigenlijk kan met die uitspraak. Spoiler: niet veel!

Zoals het een clickbate titel betaamt volgt de nuance één of twee paragrafen later. In de bredere zin rond interpretatie van de GDPR en het begrip persoonsgegeven is de EDPS v SRB zaak natuurlijk interessant. Daarom dat er ondertussen al menig academisch artikel en juridische analyse aan is gewijd, en dat DPI deze zaak ook voorbij laat komen in de Stay Tuned sessies.

De DPO staat echter met de voeten in de gegevensbeschermingsmodder en voor vele DPO’s lijkt die modder nu alleen maar dikker te zijn geworden.

Waarom heeft SRB weinig impact op de DPO?

Iets dat te weinig wordt benoemd rond de SRB zaak is de zeer specifieke context waarin die uitspraak gedaan werd. En zoals we bij arresten van het Hof weten: je moet eventuele conclusies steeds in die specifieke context plaatsen. SRB verstrekte specifieke gegevens, op een specifieke manier, en had specifieke maatregelen genomen. Het is overdreven om die hier nu allemaal te schetsen, maar het volstaat om te zeggen dat die specifieke context niet van toepassing is op situaties waarin men nu desalniettemin gretig met het SRB-arrest zwaait.

Op verschillende plekken zag ik dit lijstje voorbij komen met actiepunten naar aanleiding van SRB:

  • Benoem de ontvangers van pseudonieme gegevens in je privacyverklaring
  • Onderzoek je data sharing agreements rond pseudonieme gegevens
  • Herevalueer je data flows

Ben jij een organisatie die veelvuldig complexe pseudonieme dan wel anonieme datasets uitwisselt? Dan kun je hier zeker iets mee. Maar opnieuw, 95% van de DPO’s werken niet in zo’n organisatie en moeten zich dus geen zorgen maken.

Een groep DPO’s die hier wel tegenaan loopt zit bijvoorbeeld in de gezondheidszorg. Daar heb ik wel degelijk van menig DPO gehoord dat zij nu geconfronteerd worden met partijen die toegang willen tot de data waarover een zorginstelling beschikt. Vaak wilt de betreffende dokter of directie dat ook, want die uitwisseling gaat gepaard met vergoedingen. Die partijen kregen eerder al nul op het rekest op advies van de DPO maar komen nu terug en verwijzen naar SRB.

De DPO, al vaker in een positie dat men “Nee” moet verkopen, krijgt nu ook intern vanuit de organisatie kritiek “want er is toch een uitspraak van de hoogste rechter dat de gegevens anoniem zijn!”.  Uw simpele repliek als DPO: “Kunt u mij dan aantonen op welke manier de situatie zoals geschetst in SRB van toepassing is op deze voorgestelde gegevensdoorgifte?”, oftewel toon aan dat de gegevens in deze situatie effectief anoniem zijn én blijven. Vergeet dat laatste niet, in deze wondere wereld van AI zullen gegevens immers nog sneller te herleiden zijn naar individuen en is de kans dat complexe datasets écht anoniem zijn nog kleiner geworden.

Soms is je beste advies, dat iemand anders advies moet geven

Nu we toch over anonimisering spreken, organisaties in België hebben nog een extra verantwoordelijkheid die hen in de Gegevensbeschermingswet (ook wel Kaderwet) wordt toebedeeld. Dixit artikel 204:

Art. 204. Indien een functionaris voor gegevensbescherming overeenkomstig artikel 190 werd aangewezen, geeft deze advies over het gebruik van de verschillende methoden voor pseudonimisering en anonimisering, in het bijzonder de doeltreffendheid ervan voor wat betreft de bescherming van gegevens

Vaak vertaalt men dit naar of de DPO even kan verklaren dat de gegevens voldoende geanonimiseerd zijn. Nu denk ik graag dat ik een ervaren DPO ben, maar complexe datasets anoniem gaan verklaren gaat mijn petje te boven, idem voor advies over de methoden om dat te doen. Verklaren dat een dataset niet anoniem is doe ik vaak genoeg, het omgekeerde waag ik me niet zomaar aan.

Dan haal ik een stokpaardje van stal: soms is het beste advies dat iemand anders advies moet geven. Er zijn partijen, zogenaamde trusted third parties (of “derde vertrouwenspersonen” zoals benoemd in artikel 203 van de Kaderwet) of andere experts die zo’n uitspraak kunnen doen. Als de verantwoordelijke dat belangrijk genoeg vindt, kan men daar een beroep op (laten) doen.

Datum
17.02.2026

Laatste nieuws

8 concrete GDPR tips voor 2026: Jurisprudentie besproken tijdens Stay Tuned
DPO jaarverslag template 2025
5 redenen om je training bij DPI te volgen
Nieuwe trainer aangekondigd voor DPI’s 5-daagse DPO-certificeringstraining in Brussel

Stay informed via our newsletter

Stay connected with our latest news, offers and available training.

Newsletter
x

Blijf op de hoogte via onze nieuwsbrief

Blijf in contact met ons laatste nieuws, aanbiedingen en beschikbare opleidingen.

Newsletter
x

Schrijf je in