{"id":19595,"date":"2026-02-17T09:16:56","date_gmt":"2026-02-17T08:16:56","guid":{"rendered":"https:\/\/www.dp-institute.eu\/?p=19595"},"modified":"2026-02-26T09:53:18","modified_gmt":"2026-02-26T08:53:18","slug":"srb-voor-dpos-weinig-impact","status":"publish","type":"post","link":"https:\/\/www.dp-institute.eu\/nl\/srb-voor-dpos-weinig-impact\/","title":{"rendered":"SRB is totaal oninteressant voor 95% van de DPO\u2019s"},"content":{"rendered":"<p>Geschreven door: <a href=\"https:\/\/www.dp-institute.eu\/nl\/onze-lesgevers\/bart-van-buitenen\/\" target=\"_blank\" rel=\"noopener\">Bart Van Buitenen<\/a><\/p>\n<hr \/>\n<h1><strong><a href=\"https:\/\/infocuria.curia.europa.eu\/tabs\/document?source=document&amp;docid=303863&amp;doclang=EN\" rel=\"nofollow noopener\" target=\"_blank\">EDPS v SRB<\/a> is totaal oninteressant voor 95% van de DPO\u2019s<\/strong><\/h1>\n<p>&#8220;There I said it.&#8221; Nu het stof wat is gaan liggen en de stroom Linkedin posts waarin men de finesses van de definitie van persoonsgegevens blootlegt ook wat is opgedroogd, is het tijd om even stil te staan bij wat de DPO op het terrein nu eigenlijk kan met die uitspraak. Spoiler: <strong>niet veel<\/strong>!<\/p>\n<p>Zoals het een clickbait titel betaamt volgt de nuance \u00e9\u00e9n of twee paragrafen later. In de bredere zin rond interpretatie van de GDPR en het begrip persoonsgegeven is de <a href=\"https:\/\/curia.europa.eu\/site\/upload\/docs\/application\/pdf\/2025-09\/cp250107en.pdf\" rel=\"nofollow noopener\" target=\"_blank\">EDPS v SRB zaak<\/a> natuurlijk interessant. Daarom dat er ondertussen al menig <a href=\"https:\/\/www.law.kuleuven.be\/citip\/blog\/identifiability-on-trial-insights-from-srb-v-edps\/\" rel=\"nofollow noopener\" target=\"_blank\">academisch artikel<\/a> en <a href=\"https:\/\/www.startpage.com\/sp\/search?query=legal+analysis+srb+cjeu\" rel=\"nofollow noopener\" target=\"_blank\">juridische analyse<\/a> aan is gewijd, en dat DPI deze zaak ook voorbij laat komen in de <a href=\"https:\/\/www.dp-institute.eu\/nl\/opleidingen\/stay-tuned-as-dpo\/\">Stay Tuned sessies<\/a>.<\/p>\n<p>De DPO staat echter met de voeten in de gegevensbeschermingsmodder en voor vele DPO\u2019s lijkt die modder nu alleen maar dikker te zijn geworden.<\/p>\n<h2>Waarom heeft SRB weinig impact op de DPO?<\/h2>\n<p>Iets dat te weinig wordt benoemd rond de SRB zaak is de <strong>zeer specifieke context<\/strong> waarin die uitspraak gedaan werd. En zoals we bij arresten van het Hof weten: je moet eventuele conclusies steeds in die specifieke context plaatsen. SRB verstrekte specifieke gegevens, op een specifieke manier, en had specifieke maatregelen genomen. Het is overdreven om die hier nu allemaal te schetsen, maar het volstaat om te zeggen dat die specifieke context niet van toepassing is op situaties waarin men nu desalniettemin gretig met het SRB-arrest zwaait.<\/p>\n<p><strong>Op verschillende plekken zag ik dit lijstje voorbij komen met actiepunten naar aanleiding van SRB:<\/strong><\/p>\n<ul>\n<li>Benoem de ontvangers van pseudonieme gegevens in je privacyverklaring<\/li>\n<li>Onderzoek je data sharing agreements rond pseudonieme gegevens<\/li>\n<li>Herevalueer je data flows<\/li>\n<\/ul>\n<p>Ben jij een organisatie die veelvuldig complexe pseudonieme dan wel anonieme datasets uitwisselt? Dan kun je hier zeker iets mee. <strong>Maar opnieuw, 95% van de DPO\u2019s werken niet in zo\u2019n organisatie en moeten zich dus geen zorgen maken<\/strong>.<\/p>\n<p>Een groep <strong>DPO\u2019s die hier wel tegenaan loopt zit bijvoorbeeld in de <a href=\"https:\/\/www.dp-institute.eu\/nl\/opleidingen\/dpo-certificatie-zorg\/\" target=\"_blank\" rel=\"noopener\">gezondheidszorg<\/a><\/strong>. Daar heb ik wel degelijk van menig DPO gehoord dat zij nu geconfronteerd worden met partijen die toegang willen tot de data waarover een zorginstelling beschikt. Vaak wilt de betreffende dokter of directie dat ook, want die uitwisseling gaat gepaard met vergoedingen. Die partijen kregen eerder al nul op het rekest op advies van de DPO maar komen nu terug en verwijzen naar SRB.<\/p>\n<p>De DPO, al vaker in een positie dat men \u201cNee\u201d moet verkopen, krijgt nu ook intern vanuit de organisatie kritiek \u201cwant er is toch een uitspraak van de hoogste rechter dat de gegevens anoniem zijn!\u201d.\u00a0 Uw simpele repliek als DPO: \u201cKunt u mij dan aantonen op welke manier de situatie zoals geschetst in SRB van toepassing is op deze voorgestelde gegevensdoorgifte?\u201d, oftewel <strong>toon aan dat de gegevens in deze situatie effectief anoniem zijn \u00e9n blijven<\/strong>. Vergeet dat laatste niet, in deze wondere wereld van AI zullen gegevens immers nog sneller te herleiden zijn naar individuen en is de kans dat complexe datasets \u00e9cht anoniem zijn nog kleiner geworden.<\/p>\n<h2>Soms is je beste advies, dat iemand anders advies moet geven<\/h2>\n<p>Nu we toch over anonimisering spreken, organisaties in Belgi\u00eb hebben nog een extra verantwoordelijkheid die hen in de Gegevensbeschermingswet (ook wel Kaderwet) wordt toebedeeld. <a href=\"https:\/\/www.gegevensbeschermingsautoriteit.be\/publications\/kaderwet.pdf\" rel=\"nofollow noopener\" target=\"_blank\">Dixit artikel 204<\/a>:<\/p>\n<p style=\"padding-left: 40px;\"><em>Art. 204. Indien een functionaris voor gegevensbescherming overeenkomstig artikel 190 werd aangewezen, geeft <strong>deze advies over het gebruik van de verschillende methoden voor pseudonimisering en anonimisering, in het bijzonder de doeltreffendheid <\/strong>ervan voor wat betreft de bescherming van gegevens<\/em><\/p>\n<p>Vaak vertaalt men dit naar of de DPO even kan verklaren dat de gegevens voldoende geanonimiseerd zijn. Nu denk ik graag dat ik een ervaren DPO ben, maar complexe datasets anoniem gaan verklaren gaat mijn petje te boven, idem voor advies over de methoden om dat te doen. Verklaren dat een dataset <em>niet<\/em> anoniem is doe ik vaak genoeg, het omgekeerde waag ik me niet zomaar aan.<\/p>\n<p>Dan haal ik een stokpaardje van stal: <strong>soms is het beste advies dat iemand anders advies moet geven<\/strong>. Er zijn partijen, zogenaamde trusted third parties (of \u201cderde vertrouwenspersonen\u201d zoals benoemd in artikel 203 van de Kaderwet) of andere experts die zo\u2019n uitspraak kunnen doen. Als de verantwoordelijke dat belangrijk genoeg vindt, kan men daar een beroep op (laten) doen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Geschreven door: Bart Van Buitenen EDPS v SRB is totaal oninteressant voor 95% van de DPO\u2019s &#8220;There I said it.&#8221; Nu het stof wat is gaan liggen en de stroom Linkedin posts waarin men de finesses van de definitie van persoonsgegevens blootlegt ook wat is opgedroogd, is het tijd om even stil te staan bij [&hellip;]<\/p>\n","protected":false},"author":45,"featured_media":19636,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1,30],"tags":[],"class_list":["post-19595","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-alle","category-dpo"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/posts\/19595","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/users\/45"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/comments?post=19595"}],"version-history":[{"count":15,"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/posts\/19595\/revisions"}],"predecessor-version":[{"id":19690,"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/posts\/19595\/revisions\/19690"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/media\/19636"}],"wp:attachment":[{"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/media?parent=19595"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/categories?post=19595"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/tags?post=19595"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}