Specialisten in de bescherming van uw gegevens

Wat is anonimisering?

Als het gaat om de bescherming van persoonsgegevens komen de begrippen anonimisering en pseudonimisering steeds vaker voor. Wat zijn de verschillen en hoe kiest u de juiste privacy enhancing technologies?

Pseudonimisering in de AVG

In de Algemene verordening gegevensbescherming (AVG) zijn de kwaliteit van data en de minimalisatie van verwerkingen belangrijke beginselen voor een zorgvuldige omgang met persoonsgegevens. De wet noemt gepseudonimiseerde data als voorkeursoplossing voor het verwerken van persoonsgegevens die niet meer direct gebruikt worden.

Anonimiseren versus pseudonimiseren

Er is nogal eens onduidelijkheid over de begrippen anonimiseren en pseudonimiseren. Toch zijn er grote verschillen. Bij pseudonimisering kunnen anonieme gegevens met de juiste sleutel inzichtelijk gemaakt worden, waardoor herleiding naar natuurlijke personen weer mogelijk is. Anonimisering draait daarentegen om versleuteling die niet omkeerbaar is: als persoonsgegevens eenmaal zijn ontdaan van identificerende data, is het niet meer mogelijk om deze later weer met personen in verband te brengen.

Het verschil tussen geanonimiseerde en gepseudonimiseerde gegevens is belangrijk omdat de AVG niet van toepassing is op volledig geanonimiseerde data. Voor gepseudonimiseerde data gelden de regels uit de AVG nog wel.

Hoe werkt pseudonimiseren?

Pseudonimiseren is een methode waarbij identificerende gegevens met een bepaald algoritme worden vervangen door versleutelde gegevens (het pseudoniem). Het algoritme kan aan een persoon steeds hetzelfde pseudoniem toekennen, waardoor informatie uit verschillende bronnen kan worden gecombineerd. Na de encryptie is het dus nog steeds mogelijk om de betrokkene te identificeren: met behulp van het algoritme kan de versleuteling namelijk weer worden teruggedraaid.

Omdat het versleutelingsproces omkeerbaar is, zijn gepseudonimiseerde data over een identificeerbare persoon volgens de AVG nog steeds persoonsgegevens. Na pseudonimisering zijn de gegevens namelijk tot een persoon te herleiden.

De waarde van pseudonimisering

Pseudonimisering vermindert de kans op misbruik van gegevens bij datalekken: gepseudonimiseerde informatie die op straat komt te liggen, is namelijk alleen tot personen te herleiden als het toegepaste algoritme bekend is. In die zin is pseudonimisering een techniek ter verbetering van de beveiliging van persoonsgegevens. De expliciete vermelding van pseudonimisering in de AVG is overigens niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten.

Pseudonimisering is een techniek ter verbetering van de beveiliging van persoonsgegevens.

Hoe werkt anonimiseren?

Anonimiseren, ook wel datamasking genoemd, is een methode waarbij persoonsgegevens zodanig worden bewerkt dat deze niet meer gebruikt kunnen worden om een persoon te identificeren. Deze bewerking is onomkeerbaar.

Anonimisering kan op een aantal verschillende manieren worden gerealiseerd.

  • Gegevens kunnen geheel willekeurig in andere data worden vertaald.
  • Gegevens binnen een dataset kunnen worden verschoven. Achternamen kunnen bijvoorbeeld worden verwisseld.
  • Bepaalde gegevens, zoals de eerste cijfers van een nummer, kunnen worden gewist.
  • Alle dag- of maandnummers kunnen worden vervangen door hetzelfde getal, bijvoorbeeld een nul of één.
  • Gegevens kunnen (deels) worden vervangen door willekeurige, fictieve gegevens uit een andere gegevensverzameling.
  • Gegevens kunnen via vooraf gedefinieerde regels worden vervangen.

De waarde van anonimiseren

Anonimiseren is onomkeerbaar en geanonimiseerde data zijn volgens de AVG dan ook geen persoonsgegevens meer. Anonimiseren is een goede methode om persoonsgegevens geschikt te maken voor testdoeleinden. Anonimiseren is ook waardevol wanneer een organisatie gegevens wil bewaren voor analytische of statistische doeleinden, maar het herleiden tot personen niet langer meer noodzakelijk of rechtmatig is. Het anonimiseren dient wel te gebeuren door daartoe geautoriseerde personen en binnen de geldende regels. Tot het moment dat de gegevens zijn geanonimiseerd zijn het immers nog persoonsgegevens waarop de AVG van toepassing is..

Meer weten?

FG Support adviseert over de toepassing van methoden om data te pseudonimiseren en anonimiseren. We hebben ook alle kennis in huis van anonimiseringssoftware. Neem voor meer informatie gerust contact met ons op.