Anonimiseren en pseudonimiseren van data zijn veelgebruikte manieren om persoonsgegevens te beschermen.
Cas van de Ven, adviseur van L2P, vertelt wat er nodig is voor een effectieve aanpak én deelt een praktisch stroomschema
Pseudonimiseren is een methode om persoonsgegevens minder makkelijk te herleiden naar specifieke personen. De Autoriteit Persoonsgegevens ziet pseudonimiseren als een maatregel ter beveiliging van persoonsgegevens. Bij anonimiseren is de link met natuurlijke personen volledig en onomkeerbaar verbroken. Na de toepassing van anonimisering zijn de data daarom niet meer aan te merken als persoonsgegevens, zoals bedoeld in artikel 4 lid 1 van de Algemene verordening gegevensbescherming (AVG).
Het Europese Hof van Justitie heeft in een recente uitspraak het verschil tussen anonimiseren en pseudonimiseren verduidelijkt. In deze zaak
beargumenteerde de Gemeenschappelijke Afwikkelingsraad (GAR) dat gepseudonimiseerde persoonsgegevens, die werden verzonden aan een verwerker, als geanonimiseerd zijn te beschouwen. De redenering van de GAR is dat niet redelijkerwijs is vast te stellen dat de verwerker de gegevens kan herleiden tot specifieke personen.
Andere uitspraken onderschrijven de zienswijze van de GAR. In bijvoorbeeld het Breyer-arrest
bleek al dat van een organisatie die gepseudonimiseerde data ontvangt geen excessieve inspanning kan worden gevraagd om na te gaan of er sprake is van persoonsgegevens.
De rechterlijke uitspraken laten zien dat persoonsgegevens die voor de ene partij gepseudonimiseerd zijn, voor een andere partij als anoniem zijn te beschouwen.
- Is het voor een externe ontvanger niet met redelijke middelen mogelijk om de gepseudonimiseerde persoonsgegevens te herleiden tot de
oorspronkelijke betrokkenen? Dan is er sprake van geanonimiseerde gegevens, en is de AVG dus niet van toepassing.
- Wat gebeurt er als een interne ontvanger de gegevens niet kan herleiden tot een betrokkene? Dan is er voor de
verwerkingsverantwoordelijke sprake van (gepseudonimiseerde) persoonsgegevens. De AVG is daarom van
toepassing. Met technische en organisatorische maatregelen is het mogelijk om aan te tonen dat er voldoende maatregelen zijn genomen
voor een adequate bescherming van persoonsgegevens.
De AVG noemt geen specifieke verplichtingen voor het gebruik van anonimiseren en/of pseudonimiseren. Maar de AVG verplicht organisaties om passende maatregelen te nemen om gegevensbescherming te waarborgen. Een van dergelijke maatregelen, die artikel 31 lid 1 AVG expliciet benoemt, is het pseudonimiseren en versleutelen van persoonsgegevens.
De AVG stelt ook verschillende voorwaarden aan de toepassing van anonimiseren en/of pseudonimiseren. Artikel 89 lid 1 AVG betekent bijvoorbeeld dat een organisatie verplicht is om de methoden toe te passen, als de verwerking van persoonsgegevens plaatsvindt met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek, of statistische doeleinden.
Het uitgangspunt is hierbij als volgt.
- Als een onderzoek mogelijk is met geanonimiseerde gegevens, dan is anomiseren verplicht.
- Is het niet mogelijk om geanonimiseerde gegevens te gebruiken, maar is pseudonimiseren wel mogelijk? Dan is pseudonimiseren
noodzakelijk. Het is daarbij overigens cruciaal om de proportionaliteit en subsidiariteit van de verwerking te beoordelen, zodat de
noodzaak van het gebruik van persoonsgegevens is aangetoond.
Het essentiële verschil tussen anonimiseren en pseudonimiseren heeft te maken met de herleidbaarheid. Anonimiseren betekent dat persoonsgegevens nooit meer zijn te herleiden naar een natuurlijke persoon. Bij pseudonimiseren is het wel mogelijk om de verwerkte gegevens te linken aan een natuurlijke persoon, omdat er een sleutel aanwezig is om het pseudonimiseren ongedaan te maken.
Er zijn verschillende criteria waaraan gegevens moeten voldoen voordat je deze als anoniem kunt beschouwen. De rechtsvoorganger van het European Data Protection Board (EDPB) stelde hiervoor drie criteria op:
- Herleidbaarheid: in hoeverre zijn data nog terug te voeren tot een natuurlijke persoon?
- Koppelbaarheid: in hoeverre zijn data in verband te brengen met een natuurlijke persoon? Dat is bijvoorbeeld het geval als een onderzoek
gebruik maakt van een kleine steekproef.
- Deduceerbaarheid: in hoeverre is er persoonsgebonden informatie af te leiden uit de gebruikte data?
Gegevens zijn pas anoniem te noemen als aan alle drie criteria is voldaan.
L2P heeft een stroomschema opgesteld waarmee je bepaalt of je een wettelijke verplichting hebt om anonimiseren en/of pseudonimiseren toe te passen.
Met pseudonimiseren en/of anonimiseren is een organisatie in staat om (deels) te voldoen aan de verplichting van artikel 32 lid 2 AVG, namelijk het "treffen van passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen".
Ons advies is om pseudonimiseren en anonimiseren waar mogelijk toe te passen. Het zijn immers methoden om de risico's en gevolgen van datalekken te verminderen, en daarmee de organisatie een stukje veiliger te maken.