Pseudonimiseren en anonimiseren

Uit Handje Wiki
Versie door Editor 7 (overleg | bijdragen) op 19 nov 2024 om 17:00 (→‎Pseudonimiseren)
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Naar navigatie springen Naar zoeken springen

Zoals we zagen bij het onderdeel 'persoonsgegevens' zijn gegevens in principe al heel snel persoonsgegevens. Ook als er geen namen of contactgegevens beschikbaar zijn. Dat maakt dat de AVG breed toepasbaar is. Om als organisatie te voorkomen dat je vastzit aan de regels uit de AVG, zit er maar één ding op en dat is de persoonsgegevens te anonimiseren. Dat wil zeggen dat ze op geen enkele wijze meer tot een persoon te herleiden zijn. Een truc om gegevens minder gevoelig te laten zijn, is het pseudonimiseren van persoonsgegevens. Let wel, het zijn nog steeds persoonsgegevens en je hebt dus nog altijd te maken met de AVG.

Hieronder een uitwerking van beide technieken.

Anonimiseren vs. pseudonimiseren

Anonimiseren

Soms kan het handig zijn om gegevens te anonimiseren. Bijvoorbeeld omdat je bepaalde informatie onbeperkt wil bewaren of verder wil gebruiken. Het kan dan mogelijk zijn om de gegevens te 'strippen' van alle identificerende elementen. Als dat lukt, werk je niet langer met persoonsgegevens, maar met anonieme gegevens. Klinkt goed natuurlijk, maar het is niet altijd werkbaar. Bijvoorbeeld omdat je simpelweg persoonsgegevens nodig hebt om wat nuttigs met de informatie te kunnen doen. Dit is afhankelijk van het doel dat je hebt bij het verwerken van de gegevens.

Enkele praktische tips om persoonsgegevens te anonimiseren:

  • Verwissel gegevens tussen personen
  • Voeg ruis toe aan gegevens
  • Vervang specifieke gegevens door bandbreedtes

Pseudonimiseren

Een veelgebruikte truc om gegevens minder gevoelig te laten zijn, is namen en adressen te vervangen door nummers. Je kunt dan uitspraken doen op klantniveau – klant 1 koopt vaker horloges en de bijbehorende gekleurde groene bandjes, klant 15 koopt veel horloges, laten we die eens een aanbieding met de bijgehorende gekleurde bandjes doen. Onder de AVG is dit echter niet genoeg. Wanneer je enkel namen vervangt door getallen of nepnamen, noemt de AVG dit pseudonimiseren. De wet blijft dan gewoon van toepassing, iemands pseudoniem is nog steeds een gegeven over die iemand en de gegevens blijven dan dus persoonsgegevens. Pas als de koppeling tussen klantnamen en -nummers volledig verbroken is (de lijst met namen en getallen is vernietigd) én de resterende gegevens te weinig zijn om daadwerkelijk over één persoon te spreken.

Pseudonimiseren is een goede beveiligingsmaatregel. Het vermindert de risico's voor de privacy van mensen, maar maakt het nog wel mogelijk om de gegevens te gebruiken. Het is als het ware een extra slot op de deur: ook als iemand onbevoegd toegang krijgt tot de gegevens, kan diegene niet direct zien om wie het gaat. Er is immers geen sprake meer van directe herleidbaarheid.

Een belangrijk punt om te onthouden is dat gepseudonimiseerde gegevens nog steeds persoonsgegevens zijn. Ook al zie je niet direct wie het is, zolang er ergens een mogelijkheid bestaat om terug te vinden wie bij welke gegevens hoort, moet je ze behandelen als persoonsgegevens. Dit betekent dat alle regels van de privacywetgeving blijven gelden.

Je kunt pseudonimiseren op verschillende manieren:

  • Namen vervangen door codes of nummers
  • E-mailadressen omzetten naar unieke identificatienummers
  • Adressen vervangen door postcodegebieden
  • Geboortedatums vervangen door leeftijdscategorieën

Het verschil tussen anonimiseren en pseudonimiseren

Bij pseudonimiseren bewaar je de sleutel om terug te kunnen vinden wie het is. Bij anonimiseren maak je die sleutel definitief onbruikbaar of gooi je hem weg. Het verschil is belangrijk:

  • Gepseudonimiseerde gegevens kun je nog herleiden tot personen
  • Geanonimiseerde gegevens kun je nooit meer herleiden tot personen
  • Voor geanonimiseerde gegevens geldt de privacywetgeving niet meer

Hoe anonimiseer ik persoonsgegevens?

Verwisselen

Verwisselen van gegevens is een vrij eenvoudige manier. Als je bijvoorbeeld leeftijden en woonplaatsen willekeurig van plaats verwisselt in een lijst met klanten of personeel, is het niet meer mogelijk te achterhalen om welke personen het ging. Een voorbeeld met gemeten lichaamslengtes en gewicht:

Originele gegevens Met verwisseling
Jansen: 1 meter 70 en 82 kg

Pietersen: 1 meter 92 en 95 kg

De Vries: 1 meter 62 en 108 kg

Van den Berg: 1 meter 73 en 73 kg

Patiënt 1: 1 meter 92 en 108 kg

Patiënt 2: 1 meter 62 en 95 kg

Patiënt 3: 1 meter 70 en 73 kg

Patiënt 4: 1 meter 73 en 108 kg

Let op dat bij het willekeurig wisselen mogelijk is dat gegevens bij bepaalde personen blijven staan. Dit is onvermijdelijk en tast de kwaliteit niet aan. Verder is het van groot belang dat de verwisseling écht willekeurig gebeurt. Als je volgens een vast plan wisselt, dan is de wisseling ongedaan te maken en dan heb je geen anonieme gegevens. Daarnaast moeten de gegevens natuurlijk individueel te weinig zijn om de persoon alsnog te identificeren. Een burgerservicenummer of personeelsnummer verwisselen maakt de lijst natuurlijk niet anoniem.

Een nadeel van deze methode is natuurlijk dat correlaties tussen verschillende elementen verloren gaan. Je kunt uit de tabel van het voorbeeld bijvoorbeeld geen uitspraken meer halen over lengte versus gewicht.

Ruis toevoegen

Ruis toevoegen is een snelle manier om gegevens te anonimiseren. Als je bijvoorbeeld locaties registreert, kun je deze willekeurig een aantal meter (bijvoorbeeld vijf tot vijftien) laten afwijken. Voor de meeste toepassingen is dat goed genoeg, maar de locatie is nu niet meer exact genoeg om te herleiden tot een individu. Een voorbeeld met gemeten lichaamslengtes:

Zonder ruis Met ruis
Jansen: 1 meter 70

Pietersen: 1 meter 92

De Vries: 1 meter 62

Van den Berg: 1 meter 73

Patiënt 1: 1 meter 62

Patiënt 2: 1 meter 93

Patiënt 3: 1 meter 69

Patiënt 4: 1 meter 70

NB alle metingen +/- 10 centimeter

Ook hier is het mogelijk dat de toegevoegde ruis soms zo klein is dat de uitkomst niet of nauwelijks afwijkt. Vergeet niet te melden wat de maximale omvang van de ruis is.

Bandbreedtes

Ook specifieke gegevens door bandbreedtes vervangen is effectief om herleidbaarheid veel moeilijker te maken. Een voorbeeld met gemeten gewicht:  

Originele gegevens In bandbreedte
Jansen: 82 kg

Pietersen: 95 kg

De Vries: 108 kg

Van den Berg: 73 kg

Patiënt 1: 70-90 kg

Patiënt 2: 90-110 kg

Patiënt 3: 90-110 kg

Patiënt 4: 70-90 kg

Let op dat je alle bandbreedtes in principe even groot kiest. Je kunt de onderste of bovenste bandbreedtes uiteraard aanduiden als “tot 50 kilo” of “meer dan 130 kilo”. Je kunt natuurlijk ook werken met namen zoals “klein”, “middel” en “groot” in plaats van getalsmatige reeksen.

Persoonsgegevens kunnen hun status als persoonsgegeven ook verliezen wanneer ze worden geaggregeerd oftewel samengevoegd tot een groepsuitspraak. Uitspraken over een groep – de leden van onze vereniging zijn gemiddeld 45,3 jaar oud – zeggen immers niets over de leden van die groep. Het is dus ook mogelijk (en vaak verstandig) om gegevens samen te voegen om zo te voorkomen dat de gegevens nog onder de AVG vallen. Natuurlijk verlies je hiermee wel een deel van je informatie.

Hoe veel gegevens nodig zijn voor een zinnige aggregatie, is in het algemeen moeilijk te zeggen. Een veelgehoorde vuistregel is dat groepen ten minste 10 à 12 personen moeten tellen. Zijn er te weinig gegevens voor een groep, dan gebruik je deze groep niet. Het Handje kan bijvoorbeeld haar abonnees per postcode groeperen en dan uitspraken per postcodegebied doen. Wanneer een bepaalde postcode slechts twee of drie klanten kent, blijft deze buiten beschouwing.

Overgenomen van "https://www.nietsaanhethandje.nl/index.php?title=Pseudonimiseren_en_anonimiseren&oldid=443"