Bron: Privacy Company

Met de komst van de Europese Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 wordt een nieuwe term geïntroduceerd in de privacywet: het pseudonimiseren van persoonsgegevens. Pseudonimiseren is niet gelijk aan anonimiseren, ondanks wat vaak wordt gedacht. In deze blogpost leg ik uit wat het verschil is tussen beide en welke gevolgen er kleven aan het pseudonimiseren of anonimiseren van persoonsgegevens.

Wel of geen persoonsgegeven?

Waar de term pseudonimiseren van persoonsgegevens is gedefinieerd in de nieuwe privacywet, is dat bij anonimiseren van persoonsgegevens niet het geval. De gevolgen van anonimiseren daarentegen worden wel genoemd. Die verschillende gevolgen zijn zwart-wit: de privacywet is wel of niet van toepassing, afhankelijk van de vraag of de betreffende gegevens persoonsgegevens zijn of niet. Pseudonieme gegevens zijn dat in principe wel, anonieme gegevens niet.

Wat zijn gepseudonimiseerde persoonsgegevens?

Met pseudonimiseren worden persoonsgegevens getransformeerd in een dataset die niet meer direct herleidbaar is tot een persoon. Om dit te doen worden de direct identificeerbare elementen van een persoonsgegeven weggehaald, zoals de naam, of de dataset wordt omgecodeerd tot een nummer.

Vervolgens worden de gepseudonimiseerde dataset en de (sleutel tot de) brondata apart bewaard en zijn er waarborgen aanwezig die re-identificatie voorkomen (bijv. beleid of contracten). Belangrijk is dat de originele identificerende elementen, of de brondata, nog aanwezig zijn. Wanneer deze data vernietigd zijn, of re-identificatie anderszins onmogelijk is, is sprake van anonieme gegevens.

Wanneer de nieuwe gepseudonimiseerde dataset wordt bewaard of gedeeld met derden, moeten zij nog steeds als persoonsgegevens behandeld worden, ook al is het niet (meteen) duidelijk om wie het gaat. Het is een beveiligingsmaatregel, want pseudonimiseren vermindert het privacyrisico van betrokkenen maar ook het risico voor organisaties die met deze gegevens werken.

Onduidelijkheid rondom pseudonimiseren

Er is veel te doen over de onduidelijkheid van deze definitie en de gevolgen ervan. Voor het pseudonimiseren van persoonsgegevens blijven veel vragen open, zoals:

• Wie heeft of mag toegang hebben tot de brondata?
• Wie kan met aanvullende gegevens overgaan tot re-identificatie? Is dit iedere derde partij en valt de betrokkene zelf hier ook onder?
• Is er altijd sprake van gepseudonimiseerde persoonsgegevens wanneer de brondata nog aanwezig is?

Daar komt nog bij de bestaande (basale) onduidelijkheid over wanneer informatie een persoonsgegeven is, en dan met name wanneer gegevens iemand kunnen identificeren. Een kort antwoord: dit hangt af van wat redelijk is qua kosten, tijd, techniek, (toekomstige) technische ontwikkelingen om in te zetten voor de identificatie, en door wie de identificatie kan plaatsvinden. Het gaat dus niet om de absolute theoretische mogelijkheid dat iemand identificeerbaar is, er spelen veel factoren een rol.
Deze discussie laat ik voor nu buiten beschouwing en ik richt me verder op de gevolgen van pseudonimiseren.

Wat zijn de gevolgen van pseudonimiseren?

Er kleven namelijk, ondanks de toepasselijkheid van de privacyregels, wel degelijk voordelen aan. Zo zijn verwerkingen van gepseudonimiseerde persoonsgegevens eerder toegestaan in vergelijking met ‘gewone’ persoonsgegevens:

1. Het gebruik van persoonsgegevens voor een ander doel dan waarvoor zij oorspronkelijk zijn verzameld is eerder toegestaan;
2. Het gebruik van bijzondere persoonsgegevens (bijv. medische gegevens) voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden is eerder toegestaan;
3. De ontvanger van de gepseudonimiseerde dataset hoeft in bepaalde gevallen niet aan de rechten van betrokkenen gehoor te geven, zoals het recht op inzage, verwijdering en data portabiliteit;
4. Door rekening te houden met pseudonimisering als onderdeel van de (onder de nieuwe privacywet) verplichte privacy by design, zal er eerder een positieve uitkomst zijn van een data protection impact assessment, of PIA;
5. (Big data) analyse is eerder mogelijk door de verantwoordelijke die de persoonsgegevens heeft gepseudonimiseerd.

Ondanks de onduidelijkheid rondom de definitie van ‘gepseudonimiseerde’ gegevens en de (on-) verkorte toepasselijkheid van de privacyregels hierop, is het duidelijk dat er wel degelijk voordelen kleven aan het transformeren van persoonsgegevens tot gepseudonimiseerde gegevens. Een tijdige voorbereiding op de nieuwe privacyregels betekent ook tijdig nadenken over het pseudonimiseren van persoonsgegevens waar mogelijk.