BLOG: Persoonsgegevens beschermen door anonimiseren en pseudonimiseren: hoe doe je dat effectief?
woensdag 15 mei 2024
Anonimiseren en pseudonimiseren van data zijn veelgebruikte manieren om persoonsgegevens te beschermen. Cas van de Ven, adviseur van L2P, vertelt wat er nodig is voor een effectieve aanpak én deelt een praktisch stroomschema
Pseudonimiseren is een methode om persoonsgegevens minder makkelijk te herleiden naar specifieke personen. De Autoriteit Persoonsgegevens ziet pseudonimiseren als een maatregel ter beveiliging van persoonsgegevens. Bij anonimiseren is de link met natuurlijke personen volledig en onomkeerbaar verbroken. Na de toepassing van anonimisering zijn de data daarom niet meer aan te merken als persoonsgegevens, zoals bedoeld in artikel 4 lid 1 van de Algemene verordening gegevensbescherming (AVG).
Wat zegt de jurisprudentie over pseudonimiseren en anonimiseren?
Het Europese Hof van Justitie heeft in een recente uitspraak het verschil tussen anonimiseren en pseudonimiseren verduidelijkt. In deze zaak
beargumenteerde de Gemeenschappelijke Afwikkelingsraad (GAR) dat gepseudonimiseerde persoonsgegevens, die werden verzonden aan een verwerker, als geanonimiseerd zijn te beschouwen. De redenering van de GAR is dat niet redelijkerwijs is vast te stellen dat de verwerker de gegevens kan herleiden tot specifieke personen. Andere uitspraken onderschrijven de zienswijze van de GAR. In bijvoorbeeld het Breyer-arrest
bleek al dat van een organisatie die gepseudonimiseerde data ontvangt geen excessieve inspanning kan worden gevraagd om na te gaan of er sprake is van persoonsgegevens.
De rechterlijke uitspraken laten zien dat persoonsgegevens die voor de ene partij gepseudonimiseerd zijn, voor een andere partij als anoniem zijn te beschouwen. - Is het voor een externe ontvanger niet met redelijke middelen mogelijk om de gepseudonimiseerde persoonsgegevens te herleiden tot de oorspronkelijke betrokkenen? Dan is er sprake van geanonimiseerde gegevens, en is de AVG dus niet van toepassing.
- Wat gebeurt er als een interne ontvanger de gegevens niet kan herleiden tot een betrokkene? Dan is er voor de verwerkingsverantwoordelijke sprake van (gepseudonimiseerde) persoonsgegevens. De AVG is daarom van toepassing. Met technische en organisatorische maatregelen is het mogelijk om aan te tonen dat er voldoende maatregelen zijn genomen voor een adequate bescherming van persoonsgegevens.
Pseudonimiseren en anonimiseren: wat zijn de wettelijke verplichtingen?
De AVG noemt geen specifieke verplichtingen voor het gebruik van anonimiseren en/of pseudonimiseren. Maar de AVG verplicht organisaties om passende maatregelen te nemen om gegevensbescherming te waarborgen. Een van dergelijke maatregelen, die artikel 31 lid 1 AVG expliciet benoemt, is het pseudonimiseren en versleutelen van persoonsgegevens.
De AVG stelt ook verschillende voorwaarden aan de toepassing van anonimiseren en/of pseudonimiseren. Artikel 89 lid 1 AVG betekent bijvoorbeeld dat een organisatie verplicht is om de methoden toe te passen, als de verwerking van persoonsgegevens plaatsvindt met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek, of statistische doeleinden. Het uitgangspunt is hierbij als volgt. - Als een onderzoek mogelijk is met geanonimiseerde gegevens, dan is anomiseren verplicht. - Is het niet mogelijk om geanonimiseerde gegevens te gebruiken, maar is pseudonimiseren wel mogelijk? Dan is pseudonimiseren noodzakelijk. Het is daarbij overigens cruciaal om de proportionaliteit en subsidiariteit van de verwerking te beoordelen, zodat de noodzaak van het gebruik van persoonsgegevens is aangetoond.
Hoe maak je het onderscheid tussen pseudonimiseren en anonimiseren?
Het essentiële verschil tussen anonimiseren en pseudonimiseren heeft te maken met de herleidbaarheid. Anonimiseren betekent dat persoonsgegevens nooit meer zijn te herleiden naar een natuurlijke persoon. Bij pseudonimiseren is het wel mogelijk om de verwerkte gegevens te linken aan een natuurlijke persoon, omdat er een sleutel aanwezig is om het pseudonimiseren ongedaan te maken.
- Herleidbaarheid: in hoeverre zijn data nog terug te voeren tot een natuurlijke persoon? - Koppelbaarheid: in hoeverre zijn data in verband te brengen met een natuurlijke persoon? Dat is bijvoorbeeld het geval als een onderzoek gebruik maakt van een kleine steekproef. - Deduceerbaarheid: in hoeverre is er persoonsgebonden informatie af te leiden uit de gebruikte data?
Gegevens zijn pas anoniem te noemen als aan alle drie criteria is voldaan.
Stroomschema over de verplichting tot pseudonimiseren en anonimiseren
L2P heeft een stroomschema opgesteld waarmee je bepaalt of je een wettelijke verplichting hebt om anonimiseren en/of pseudonimiseren toe te passen.
Zie jij al de voordelen van pseudonimiseren en anonimiseren?
Met pseudonimiseren en/of anonimiseren is een organisatie in staat om (deels) te voldoen aan de verplichting van artikel 32 lid 2 AVG, namelijk het "treffen van passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen".
Ons advies is om pseudonimiseren en anonimiseren waar mogelijk toe te passen. Het zijn immers methoden om de risico's en gevolgen van datalekken te verminderen, en daarmee de organisatie een stukje veiliger te maken.
Meer weten over de effectieve toepassing van anomiseren en pseudonimiseren?