Dagelijks wijzer over welzijn, preventie en HR

Artikel

De sleutel tot vertrouwen: wat het Europees Hof zegt over gedeelde gezondheidsdata

Binnen de sector van de externe preventiediensten loopt momenteel een oefening om gezondheidsgegevens te bundelen in een centrale Co-Prev-databank. Het doel: beter zicht krijgen op trends in re-integratie en gezondheid op het werk, en die kennis ook delen.

Net nu komt het Europees Hof van Justitie met een uitspraak die recht raakt aan deze ambitie: pseudonieme gegevens zijn niet automatisch “persoonsgegevens”. Of ze dat zijn, hangt af van wie de sleutel heeft en of heridentificatie realistisch is.

Voor de preventiediensten is dat geen semantische nuance. De manier waarop we gegevens structureren, delen en beveiligen, bepaalt of we binnen of buiten de GDPR-sfeer opereren.

Een contextuele logica

Tot nu toe ging men er vaak van uit dat zodra data ooit aan een persoon gekoppeld kón worden, ze altijd onder de GDPR vielen. Het Hof brengt daar nuance in:

  • Voor de verzender die de sleutel bewaart, blijven pseudonieme gegevens persoonsgegevens.

  • Voor de ontvanger zonder sleutel, die geen realistische mogelijkheid heeft om iemand te heridentificeren, kan datzelfde bestand buiten de GDPR vallen.

Met andere woorden: niet de aard van de data op zich is doorslaggevend, maar de context en de reële mogelijkheid tot identificatie.

Dat is gezond verstand, maar het was tot nu toe niet zwart op wit bevestigd.

Voor de preventiediensten: pseudoniem is bij ons nog steeds persoonsgegeven

In de praktijk verandert dit weinig aan onze verantwoordelijkheden als externe dienst voor preventie en bescherming op het werk. Wij bewaren immers de koppeltabel tussen code en persoon. Daardoor blijft de informatie die wij beheren (ook na pseudonimisering) voluit persoonsgegevens. De plichten rond vertrouwelijkheid, beroepsgeheim, logging, DPIA’s en bewaartermijnen blijven dus gewoon gelden.

Waar de uitspraak wél relevant wordt, is wanneer we pseudonieme datasets delen met derden. Denk aan een onderzoeksinstelling, een IT-leverancier of een dataplatform dat statistische analyses uitvoert zonder sleutel of andere koppelmogelijkheden. Voor die partijen kan de dataset mogelijk buiten de GDPR vallen, maar voor ons blijft ze dat niet.

In de oefening van het Co-Prev-dataproject zal elke externe dienst de eigen sleutel bewaren. Dat betekent dat voor de individuele EDPB’s de gegevens persoonsgegevens blijven, ook al worden ze op sectorniveau gepseudonimiseerd. De pseudoniemen creëren dus geen vrijgeleide, maar maken veilige samenwerking mogelijk zolang sleutelbeheer en governance correct zijn geregeld.

Transparantie blijft verplicht

Een veelgemaakte denkfout is dat pseudonimisering automatisch ook de informatieplicht uitschakelt. Het Hof maakt daar korte metten mee: de plicht om werknemers te informeren beoordeel je vanuit het standpunt van de verwerkingsverantwoordelijke op het moment van de gegevensverzameling.

Kort gezegd: ook al kan Co-Prev niemand heridentificeren, wij moeten medewerkers nog steeds uitleggen welke gegevens we delen, voor welk doel en onder welke beveiliging. Transparantie blijft dus de basis, zelfs wanneer de ontvanger buiten de GDPR-sfeer valt.

Pragmatische privacy

De uitspraak is meer dan juridisch comfort. Ze brengt de GDPR terug naar waar ze voor bedoeld was: risicobeheer in plaats van rituele naleving. De vraag is niet langer “is dit persoonlijke data?”, maar “kan iemand dit realistisch herleiden tot een persoon, en hoe beperken we dat risico?”.

Ook voor preventiediensten en HR-professionals is dat een realistische benadering. We werken dagelijks met gevoelige data, maar ook met maatschappelijke verwachtingen om die data zinvol te gebruiken. Het arrest bevestigt dat beide perfect kunnen – als het zorgvuldig georganiseerd wordt.

Van theorie naar praktijk

We zijn echt nog maar in de beginfase, maar de Co-Prev-databank zal meteen een lakmoesproef worden. Door sleutelbeheer strikt te scheiden, duidelijke governance af te spreken en elk gebruik vooraf te laten goedkeuren door het bestuursorgaan, creëren we een model dat privacy en innovatie combineert. De sleutel ligt (letterlijk) bij de juiste partij.

Tot slot

De uitspraak van het Hof is geen versoepeling van de regels, maar een uitnodiging tot gezond verstand. Wie data deelt, moet weten waar de sleutel ligt, wie hem heeft, en hoe goed de deur op slot zit. Dat is niet alleen een juridische zorg, maar ook een kwestie van vertrouwen – tussen werknemers, preventiediensten en overheid.