Samenvatting
De CNIL heeft IQVIA OPERATIONS FRANCE beboet met een boete van 5 miljoen euro bij besluit SAN-2026-008 van 26 mei 2026, openbaar gemaakt op 28 mei 2026 (de beperkte commissie had op 26 maart 2026 zitting gehouden). De procedure betrof twee gezondheidsdatamagazijnen geëxploiteerd door de dochteronderneming van de Amerikaanse groep IQVIA: LRX, goedgekeurd in 2018 en gevoed door ongeveer 14.000 Franse apotheken, en EMR, goedgekeurd in 2021 en gevoed door verschillende duizenden artsen. Het besluit stelt dat de verwerkte gegevens betrekking zouden hebben op enkele tientallen miljoenen mensen - geboortejaar, geslacht, voorschriften, diagnoses, symptomen, allergieën, sociaal-professionele elementen en een uniek zorgpadidentificatienummer. De toezichthouder beveelt tegelijkertijd een naleving binnen zes maanden, op straffe van een dwangsom van 10.000 euro per dag vertraging, volgens het officiële persbericht van de CNIL. Het bedrijf behoudt zich het recht voor om in beroep te gaan. De boete blijft onder het maximum van 4% van de wereldwijde geconsolideerde jaaromzet bepaald in artikel 83 van de AVG.
Een bereik dat verder gaat dan IQVIA: 102 operators delen dezelfde architectuur
Op 1 september 2025 registreerde het portaal esante.gouv.fr 125 gezondheidsdatamagazijnen die door de CNIL zijn goedgekeurd en beheerd worden door 102 verschillende actoren - farmaceutische uitgevers, publieke onderzoeksinstellingen, verzekeringsplatforms, gecontracteerde ziekenhuistructuren. Ze vertrouwen allemaal op dezelfde technische bouwsteen: de pseudonimisering van patiëntgegevens voordat ze voor secundair gebruik worden geopend. De redenering van de toezichthouder tegen IQVIA - pseudonimisering is geen anonimisatie voor de entiteit die de sleutels bezit - richt zich constructief op een architectuurkenmerk, niet op een bijzonderheid van het dossier. De CNIL had al gezondheidsgegevens tot een expliciete as van haar doctrine gemaakt via haar specifieke projectoproep. Het besluit van 26 mei 2026 breidt dit doctrinaire fundament uit naar de juridische kwalificatie zelf en stelt structureel elk van de 101 andere operators bloot, als oorspronkelijke controleur die de heridentificatiesleutels bezit, aan hetzelfde beoordelingskader - onder voorbehoud van de technische architecturen die eigen zijn aan elk apparaat, of het nu gaat om de farmaceutische industrie, verzekeringen of openbaar onderzoek.
Pseudonimisering: een architectuurbouwsteen ingehaald door de kwalificatie van de oorspronkelijke controleur
Voor een IT-manager die een magazijn beheert, is pseudonimisering een technische laag: aan de ene kant een versleutelde correlatietabel, aan de andere kant afgeleide datasets. De verdediging van IQVIA was gebaseerd op deze scheiding, in navolging van het arrest van het HvJEU C-413/23 P EDPS tegen SRB van 4 september 2025 - de EDPS, de Europese toezichthouder voor gegevensbescherming, tegen de Single Resolution Board, een bankautoriteit waarvan het referentieregime (verordening 2018/1725, de institutionele tegenhanger van de AVG die van toepassing is op de instellingen van de Unie) hier identiek wordt toegepast. Het Hof van Luxemburg heeft daar bepaald dat pseudonimisering een relatieve status heeft ten opzichte van de waarnemer: zolang de entiteit de heridentificatiesleutels behoudt, blijven de gegevens persoonlijk - een kwalificatie die de CNIL via de parallelle definities van artikelen 4(1) en 4(5) op de AVG toepast. «De maatregelen voor pseudonimisering hebben alleen tot doel de risico's van correlatie te verminderen... maar niet om ze te elimineren», oordeelde de beperkte commissie. Voor de projectleider van het magazijn is de architectuurconsequentie duidelijk: zolang de correlatietabel zich binnen zijn operationele sfeer bevindt, is het regime van persoonlijke gegevens van toepassing op het hele systeem, en niet alleen op het gebied dat nog steeds directe identificatoren bevat. Aan dit kwalificatiefundament worden vijf gedocumenteerde technische en procedurele tekortkomingen toegevoegd: onvoldoende informatie aan de betrokken personen, recht van verzet praktisch niet uitvoerbaar, afwezigheid van multifactorauthenticatie op het EMR-magazijn, logboeken van verbindingen niet regelmatig geanalyseerd, onjuiste informatieberichten - waaraan wordt toegevoegd de bevinding dat geen van de gecontroleerde apotheken hun klanten informeerde over de overdracht. Er blijft een architectuurnuance die het SRB-arrest expliciet erkent en die de CNIL-beslissing niet beslecht: als een ontvanger niet beschikt over redelijkerwijs bruikbare middelen om de gegevens te koppelen aan een identificeerbare persoon, vormen de gepseudonimiseerde gegevens voor hem geen persoonlijke gegevens. Met andere woorden, twee componenten van dezelfde keten kunnen onderworpen zijn aan verschillende regimes afhankelijk van hun toegang tot de sleutels. De sanctie is gericht op IQVIA als oorspronkelijke controleur; het doet geen uitspraak over het regime dat van toepassing is op derden die extracties ontvangen zonder toegang tot de heridentificatietabel.
Twee regelgevende horizonten definiëren het voorbereidingsvenster voor techteams
Voor een IT-manager of CTO die vandaag een magazijn beheert, blijft de status van derdenontvangers afhankelijk van twee deadlines die het operationele voorbereidingsvenster afbakenen. De verordening EU 2025/327 van 11 februari 2025 tot oprichting van de Europese gegevensruimte voor gezondheidsgegevens stelt de inwerkingtreding van zijn secundaire gebruiksonderdeel voor maart 2029 vast, die precies de technische voorwaarden zal organiseren voor toegang tot pseudonimiseerde gegevens door derden - academisch onderzoek, farmaceutische industrieën, overheidsinstanties. ActuIA beschreef de vijf canonieke use-cases van de toekomstige EEDS al tijdens de onderhandelingsfase van de tekst. Zolang dit onderdeel niet van toepassing is, moet het regime van elke uitgaande stroom - extracties, API's van derden, projectdeels - dossier per dossier worden afgewogen op basis van de AVG, verlicht door het SRB-arrest. De andere horizon is doctrinair: het Europees Comité voor Gegevensbescherming (EDPB) organiseerde op 12 december 2025 een belanghebbendenbijeenkomst gekoppeld aan een discussion paper, bedoeld om de bijdrage van SRB op te nemen in haar richtlijnen 01/2025 over pseudonimisering. Het besluit SAN-2026-008 stelt het regime vast dat van toepassing is op de verantwoordelijke voor de verwerking die de sleutels bezit; voor de stromen naar derden zonder toegang tot de sleutels zullen de EDPB-richtlijnen 01/2025 - waarvan de openbare raadpleging eind 2025 is afgesloten - het antwoord geven, hun finalisering volgend op de gebruikelijke termijn van 12 tot 18 maanden na de raadpleging, dat wil zeggen ten vroegste in 2027.