Ik heb hier regelmatig over gediscussieerd met iemand die bij de AP werkt. Ook daar zijn de regels niet duidelijk, of ze worden in andere landen weer anders geïnterpreteerd. Wel duidelijk is dat een ID niet zomaar als persoonsgegeven kan worden gezien, zelfs niet als die aan een stuk hardware of een account gebonden is. Het is een anonieme op speudo-anonieme weergave. Ik kan de ID's die in onze database staan gewoon delen, zolang ik de bijbehorende email-adressen en andere gegevens maar niet deel. Dat is precies wat Google ook doet. Facebook heeft de NAW gegevens echter ook en kan zo gemakkelijk je Facebook account aan het advertising-id koppelen. Of je dat ook kan als je zelf die gegevens niet hebt is dat erg moeilijk. Het gemakkelijkst is dat om in jouw app ook het advertising-ID op te vragen en dat de koppelen aan een ID wat je zelf hebt uitgedeeld. Als je de gebruiker ook nog eens kan verleiden om zijn of haar NAW gegevens op te geven, dan is de anonimiteit ervan af, maar eigenlijk
weet je dan alleen maar dat een bepaald persoon een advertising-ID heeft gekregen van Google. Je kan dan het advertising-ID eventueel zelf verder gebruiken om een gebruiker verder te tracken. Dat had ook met je eigen ID kunnen doen. De meerwaarde lijkt dan beperkt, maar het advertising-ID wordt vaak in cookies opgeslagen. Als je cookies die door andere bedrijven gaat doorzoeken krijg je alsnog een schat aan informatie.
Jij (en velen met jouw) kunnen een ID wel persoonsgegeven vinden, maar bewijs maar eens dat je de NAW gegevens kan achterhalen zonder dat je de gegevens van het bedrijf hebt dat het ID heeft uitgedeeld. Technisch/juridisch is het in de meeste gevallen binnen het bedrijf wat het ID gebruikt een pseudoniem daarbuiten een anoniem nummer.
Er is wel een tendens om een ID steeds meet als persoonsgegeven te zien en het is vermoedelijk een kwestie van tijd voordat dat ook in de GDPR opgenomen wordt.
Google ziet die bui al hangen en heeft december 2020 de tekst aangepast waar het gaat om het delen van het advertising-ID:
Whilst the Advertising ID might not allow you to identify individual users, it could be linked to other information to provide insights into identifiable individuals. This means it can be considered personal data under data protection laws, such as the EU General Data Protection Regulation (GDPR).23 dec. 2020
De woorden "might", "could be" en "can be" geven al aan dat het (voor Google) niet duidelijk is wat de status van het Advertising-ID is. Ik heb ook nog geen jurisprudentie kunnen vinden waarbij alleen een ID als persoonsgegeven wordt beschouwd. Eigenlijk zijn je BSN en je telefoonnummer de enige duidelijke uitzonderingen. Zelfs over je bankrekeningnummer kan men je bij de AP geen uitsluitsel geven.
Een rechter heeft er geen boodschap aan of in theorie meer gegevens van de persoon achter het ID kunnen worden achterhaald. Dat zal je dan echt moeten bewijzen. Zaken als wat een onbekende persoon op internet heeft bekeken en in welke stad of streek hij/zij woont zijn dan niet voldoende. Je moet echt met een naam, adres of telefoonnummer komen.
Een ID is vooralsnog juridisch nooit als privacy-gegeven beschouwd. De AP heeft er nooit boetes voor uitgedeeld en ik heb er ook geen gerechtelijke uitspraken van kunnen vinden. Daarmee is een ID geen persoonsgegeven en is er dus ook geen expliciete toestemming nodig om dat te mogen delen.
Ik had je overigens heel graag gelijk gegeven en ik hoop dat in de eerstvolgende revisie van de GDPR het delen van persoonsgebonden ID's verboden wordt. Tot die tijd geldt dat alles wat niet per wet verboden is gewoon is toegestaan.