PRIVACYWETGEVING - 29.11.2024

Gegevensbescherming: anonimiseren of pseudonimiseren?

Beide maatregelen kunnen gebruikt worden om de gegevens in uw organisatie te beschermen, maar wat is nu het verschil tussen anonimiseren en pseudonimiseren? Het blijkt niet zo heel eenvoudig. Lees verder!

AVG en persoonsgegevens

De Algemene verordening gegevensbescherming (AVG) is een vrij strenge wetgeving. Het ziet op persoonsgegevens (art. 2 lid 1 UAVG) : gegevens waarmee een natuurlijk persoon geïdentificeerd is of kan worden (art. 4 lid 1 UAVG) . Denk hierbij aan naam, adres, e-mail, telefoonnummer, etc. Echter, als het gegevens zijn waarmee geen natuurlijk persoon geïdentificeerd kan worden, zoals een bedrijfsnaam of de bankrekening van een bedrijf, dan zijn het geen persoonsgegevens. Dit zijn gewone gegevens en deze vallen niet onder de AVG.

Voor meer informatie over de AVG, ga naar https://www.tipsenadvies.nl , Download Zone, jaargang 31, nr. 11.

Anonieme gegevens. Volgens de AVG vallen anonieme data dan ook niet onder deze wetgeving. Anonieme gegevens zijn niet meer te herleiden naar een natuurlijk persoon en dit is volledig en onomkeerbaar. Tip.  Maak zo veel mogelijk data anoniem, dan heeft u hier niets mee van doen.

Wat zijn pseudonieme data?

Vaak blijkt het niet te gaan om anonimisering, maar om pseudonimisering. Er wordt een sleutel toegevoegd aan de gegevens, die maken dat alleen daarmee de gegevens herleidbaar zijn naar een natuurlijk persoon. Het is lastiger om de gegevens naar een specifiek persoon te herleiden, maar het kan nog wel. U heeft bijv. intern een enquête naar uw medewerkers verzonden met vragen over diens afdeling en leidinggevende. De enquête is anoniem, maar op basis van de antwoorden in combinatie met de afdeling, kan al snel herleid worden om wie het precies gaat. Dan is er sprake van pseudonimisering.

Niet langer anoniem. Daarnaast kan het ook voorkomen dat anonieme gegevens na verloop van tijd niet langer anoniem zijn, doordat de anonimisering is teruggedraaid door een systeem, bijv. door gebruik van kunstmatige intelligentie of door een medewerker, die de gegevens heeft teruggezet. U moet dit dus goed in de gaten houden.

Europese rechtspraak. Wat voor de één gepseudonimiseerd is, kan voor de andere anoniem zijn. Hierover is in 2023 een uitspraak geweest van het Europees Hof van Justitie (ECLI:EU:T:2023:219) . De persoonsgegevens werden door de ene partij (de verwerkingsverantwoordelijke) gepseudonimiseerd verzonden naar een andere partij (de verwerker). Als de verwerker deze gegevens niet zonder enorme inspanning kan herleiden naar natuurlijke personen, dan is er sprake van anonimisering voor de verwerker.

Drie criteria. Er zijn drie criteria waaraan voldaan moet worden bij anonimisering, namelijk:

  1. Kan de natuurlijke persoon nog geïdentificeerd worden?
  2. Kan er nog data gekoppeld worden aan de natuurlijke persoon?
  3. In hoeverre is er nog persoonsgebonden informatie af te leiden uit de gebruikte gegevens?

Antwoord: nee. Op al deze vragen dient met nee geantwoord te worden, dan zijn de gegevens op juiste wijze geanonimiseerd.

Eenvoudig alternatief. Vermijd de discussie hierover door zo min mogelijk persoonsgegevens te verwerken. De AVG gaat uit van dataminimalisatie (art. 5 UAVG) , wat inhoudt dat u niet meer verwerkt dan strikt noodzakelijk voor de uitvoering van uw bedrijfsactiviteiten.

Wanneer u niet (langer) wilt voldoen aan de AVG, kunt u de persoonsgegevens anonimiseren. Let op dat er niet alsnog sprake is van pseudonimisering en controleer regelmatig of de gegevens nog steeds anoniem zijn of vermijd risico’s en verwerk zo min mogelijk persoonsgegevens.

Uw volgende stap

Contactgegevens

Indicator BV | Schootense Dreef 31 | Postbus 794 | 5700 AT Helmond

Tel.: 0492 - 59 31 31 | Fax: 040 - 711 17 00

klantenservice@indicator.nl | www.indicator.nl

 

KvK-nummer: 17085336 | Btw-nummer: NL-803026468B01