Pseudonimiseren en anonimiseren
Achtergrond
Zoals we zagen bij het onderdeel 'persoonsgegevens' zijn gegevens in principe al heel snel persoonsgegevens. Ook als er geen namen of contactgegevens beschikbaar zijn. Dat maakt dat de AVG breed toepasbaar is. Om als organisatie te voorkomen dat je vastzit aan de regels uit de AVG, zit er maar één ding op en dat is de persoonsgegevens te anonimiseren. Dat wil zeggen dat ze op geen enkele wijze meer tot een persoon te herleiden zijn. Een truc om gegevens minder gevoelig te laten zijn, is het pseudonimiseren van persoonsgegevens. Let wel, het zijn nog steeds persoonsgegevens en je hebt dus nog altijd te maken met de AVG.
Hieronder een uitwerking van beide technieken.
Anonimiseren
Soms kan het handig zijn om gegevens te anonimiseren. Bijvoorbeeld omdat je bepaalde informatie onbeperkt wil bewaren of verder wil gebruiken. Het kan dan mogelijk zijn om de gegevens te 'strippen' van alle identificerende elementen. Als dat lukt, werk je niet langer met persoonsgegevens, maar met anonieme gegevens. Klinkt goed natuurlijk, maar het is niet altijd werkbaar. Bijvoorbeeld omdat je simpelweg persoonsgegevens nodig hebt om wat nuttigs met de informatie te kunnen doen. Dit is afhankelijk van het doel dat je hebt bij het verwerken van de gegevens.
Enkele praktische tips om persoonsgegevens te anonimiseren:
- Verwissel gegevens tussen personen
- Voeg ruis toe aan gegevens
- Vervang specifieke gegevens door bandbreedtes
Verwisselen
Verwisselen van gegevens is een vrij eenvoudige manier. Als je bijvoorbeeld leeftijden en woonplaatsen willekeurig van plaats verwisselt in een lijst met klanten of personeel, is het niet meer mogelijk te achterhalen om welke personen het ging. Een voorbeeld met gemeten lichaamslengtes en gewicht:
| Originele gegevens | Met verwisseling |
| Jansen: 1 meter 70 en 82 kg
Pietersen: 1 meter 92 en 95 kg De Vries: 1 meter 62 en 108 kg Van den Berg: 1 meter 73 en 73 kg |
Patiënt 1: 1 meter 92 en 108 kg
Patiënt 2: 1 meter 62 en 95 kg Patiënt 3: 1 meter 70 en 73 kg Patiënt 4: 1 meter 73 en 108 kg |
Let op dat bij het willekeurig wisselen mogelijk is dat gegevens bij bepaalde personen blijven staan. Dit is onvermijdelijk en tast de kwaliteit niet aan. Verder is het van groot belang dat de verwisseling écht willekeurig gebeurt. Als je volgens een vast plan wisselt, dan is de wisseling ongedaan te maken en dan heb je geen anonieme gegevens. Daarnaast moeten de gegevens natuurlijk individueel te weinig zijn om de persoon alsnog te identificeren. Een burgerservicenummer of personeelsnummer verwisselen maakt de lijst natuurlijk niet anoniem.
Een nadeel van deze methode is natuurlijk dat correlaties tussen verschillende elementen verloren gaan. Je kunt uit de tabel van het voorbeeld bijvoorbeeld geen uitspraken meer halen over lengte versus gewicht.
Ruis toevoegen
Ruis toevoegen is een snelle manier om gegevens te anonimiseren. Als je bijvoorbeeld locaties registreert, kun je deze willekeurig een aantal meter (bijvoorbeeld vijf tot vijftien) laten afwijken. Voor de meeste toepassingen is dat goed genoeg, maar de locatie is nu niet meer exact genoeg om te herleiden tot een individu. Een voorbeeld met gemeten lichaamslengtes:
| Zonder ruis | Met ruis |
| Jansen: 1 meter 70
Pietersen: 1 meter 92 De Vries: 1 meter 62 Van den Berg: 1 meter 73 |
Patiënt 1: 1 meter 62
Patiënt 2: 1 meter 93 Patiënt 3: 1 meter 69 Patiënt 4: 1 meter 70 NB alle metingen +/- 10 centimeter |
Ook hier is het mogelijk dat de toegevoegde ruis soms zo klein is dat de uitkomst niet of nauwelijks afwijkt. Vergeet niet te melden wat de maximale omvang van de ruis is.
Bandbreedtes
Ook specifieke gegevens door bandbreedtes vervangen is effectief om herleidbaarheid veel moeilijker te maken. Een voorbeeld met gemeten gewicht:
| Originele gegevens | In bandbreedte |
| Jansen: 82 kg
Pietersen: 95 kg De Vries: 108 kg Van den Berg: 73 kg |
Patiënt 1: 70-90 kg
Patiënt 2: 90-110 kg Patiënt 3: 90-110 kg Patiënt 4: 70-90 kg |
Let op dat je alle bandbreedtes in principe even groot kiest. Je kunt de onderste of bovenste bandbreedtes uiteraard aanduiden als “tot 50 kilo” of “meer dan 130 kilo”. Je kunt natuurlijk ook werken met namen zoals “klein”, “middel” en “groot” in plaats van getalsmatige reeksen.
Persoonsgegevens kunnen hun status als persoonsgegeven ook verliezen wanneer ze worden geaggregeerd oftewel samengevoegd tot een groepsuitspraak. Uitspraken over een groep – de leden van onze vereniging zijn gemiddeld 45,3 jaar oud – zeggen immers niets over de leden van die groep. Het is dus ook mogelijk (en vaak verstandig) om gegevens samen te voegen om zo te voorkomen dat de gegevens nog onder de AVG vallen. Natuurlijk verlies je hiermee wel een deel van je informatie.
Hoe veel gegevens nodig zijn voor een zinnige aggregatie, is in het algemeen moeilijk te zeggen. Een veelgehoorde vuistregel is dat groepen ten minste 10 à 12 personen moeten tellen. Zijn er te weinig gegevens voor een groep, dan gebruik je deze groep niet. Het Handje kan bijvoorbeeld haar abonnees per postcode groeperen en dan uitspraken per postcodegebied doen. Wanneer een bepaalde postcode slechts twee of drie klanten kent, blijft deze buiten beschouwing.
Pseudonimiseren
Een veelgebruikte truc om gegevens minder gevoelig te laten zijn, is namen en adressen te vervangen door nummers. Je kunt dan uitspraken doen op klantniveau – klant 1 koopt vaker horloges en de bijbehorende gekleurde groene bandjes, klant 15 koopt veel horloges, laten we die eens een aanbieding met de bijgehorende gekleurde bandjes doen. Onder de AVG is dit echter niet genoeg. Wanneer je enkel namen vervangt door getallen of nepnamen, noemt de AVG dit pseudonimiseren. De wet blijft dan gewoon van toepassing, iemands pseudoniem is nog steeds een gegeven over die iemand en de gegevens blijven dan dus persoonsgegevens. Pas als de koppeling tussen klantnamen en -nummers volledig verbroken is (de lijst met namen en getallen is vernietigd) én de resterende gegevens te weinig zijn om daadwerkelijk over één persoon te spreken. Pseudonimiseren is wel een goede beveiligingstechniek.