de termen “pseudonimiseren” en “pseudonimisering” worden vaak gebruikt in de wereld van de gegevensbescherming, maar hun oorsprong en precieze betekenis worden niet algemeen begrepen onder Amerikaanse advocaten. De meeste Amerikaanse woordenboeken herkennen geen van beide termen als onderdeel van de Engelse taal.1 terwijl de termen afkomstig zijn van het stamwoord “pseudoniem” – dat wordt gedefinieerd als een “naam die iemand gebruikt in plaats van zijn of haar echte naam” – zijn hun betekenissen iets complexer.2
de CCPA was de eerste Amerikaanse wet (federale of staat) die beide termen gebruikte.3 de CCPA definities voor de termen lenen van de Europese GDPR vastgesteld twee jaar vóór de CCPA. Met uitzondering van kleine aanpassingen om de definitie in overeenstemming te brengen met de CCPA-specifieke terminologie (bijvoorbeeld “consument” in plaats van” betrokkene”), zijn de definities vrijwel identiek.:
| Bron | GDPR | CCPA | Wijziging van de GDPR op CCPA |
| Term | pseudonymisation | Pseudonymize / Pseudonymization | |
| Definitie | hij verwerking van de persoonlijke gegevens op een zodanige wijze dat de persoonsgegevens niet langer kan worden toegeschreven aan een specifieke betrokkene zonder het gebruik van extra informatie, op voorwaarde dat deze aanvullende informatie wordt apart gehouden en is onderhevig aan technische en organisatorische maatregelen om ervoor te zorgen dat de persoonlijke gegevens niet worden toegeschreven aan een geïdentificeerde of identificeerbare natuurlijke persoon.4 | ” de verwerking van persoonsgegevens op een wijze waardoor de persoonsgegevens niet langer aan een specifieke consument kunnen worden toegeschreven zonder het gebruik van aanvullende informatie, op voorwaarde dat de aanvullende informatie afzonderlijk wordt bewaard en onderworpen is aan technische en organisatorische maatregelen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare consument worden toegeschreven.”5 | de verwerking van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet langer aan een specifieke betrokkene kunnen worden toegeschreven zonder het gebruik van aanvullende informatie, op voorwaarde dat deze aanvullende informatie afzonderlijk wordt bewaard en onderworpen is aan technische en organisatorische maatregelen om ervoor te zorgen dat de persoonsgegevens niet worden toegeschreven aan een geïdentificeerde of identificeerbare natuurlijke persoon consument. |
verwarring rond de term “pseudonimiseren” komt grotendeels voort uit dubbelzinnigheid over de manier waarop de term bedoeld is om te passen in het grotere schema van de CCPA. Naast het definiëren van de term, verwijst de CCPA slechts één keer naar “gepseudonimiseerd”. Binnen de definitie van “onderzoek” houdt de CCPA in dat persoonlijke informatie die door een bedrijf wordt verzameld, “gepseudonimiseerd en geanonimiseerd” of “geanonimiseerd en geaggregeerd moet zijn.”6 de conjunctieve verwijzing naar” onderzoek “is zowel gepseudonimiseerd” en “gedeïdentificeerd doet de vraag rijzen of de CCPA enig effect heeft op de term “gepseudonimiseerd”.”Specifiek, de CCPA lijkt een hogere drempel van anonimisering toe te wijzen aan de term “gedeïdentificeerd.”Als gegevens al geà dentificeerd moeten worden, is het daarom niet duidelijk welke extra verwerking of set van bewerkingen verwacht wordt door de gegevens ook te pseudonimiseren.
het nettoresultaat is dat de CCPA de term “pseudonimisering” ontleent aan de Europese wetgeving inzake gegevensbescherming en deze introduceert in het Amerikaanse juridische lexicon, maar deze term niet lijkt toe te passen of er geen onafhankelijke rechtsgevolgen of status aan geeft.