Van de technieken pseudonimiseren en anonimiseren wordt anonimiseren vaak gezien als de beste manier om persoonsgegevens te beschermen. Immers door het anonimiseringsproces worden de gegevens niet meer identificeerbaar en zijn het geen persoonsgegevens meer. Dat is echter niet altijd het geval: ook bij anonimiseren blijven zogenaamde restrisico’s bestaan. Die restrisico’s maken dat tegenwoordig steeds vaker voor het gebruik van synthetische data wordt gekozen.
Bij pseudonimiseren worden direct identificerende kenmerken vervangen door kunstmatige identificatoren, ook wel pseudoniemen genoemd. Deze pseudoniemen kunnen alleen worden gekoppeld aan de werkelijke identiteit door gebruik te maken van aanvullende informatie, die meestal apart wordt opgeslagen en beveiligd. Gepseudonimiseerde gegevens zijn beter beschermd dan direct identificeerbare persoonsgegevens. Maar ze blijven herleidbaar. De AVG is dan ook gewoon van toepassing op deze gegevens
Synthetische data zijn nieuwe data die weliswaar de kenmerken en patronen van de echte gegevens weerspiegelen, maar die niet rechtstreeks afkomstig zijn van individuen. Analyses kunnen worden uitgevoerd en modellen kunnen worden getraind alsof dit met persoonsgegevens gebeurt, zonder echte persoonlijke gegevens te gebruiken.
Bij anonimiseren worden de kenmerken van de persoonsgegevens zodanig verwijderd of gewijzigd dat het niet langer mogelijk is om ze te herleiden naar een specifiek individu. Alle direct identificerende kenmerken zoals namen, adressen, en identificatienummers worden verwijderd of gewijzigd. Na anonimisering kunnen de geanonimiseerde set data niet meer worden herleid tot een specifiek individu, zelfs niet door de organisatie die de gegevens beheert. De data zijn geen persoonsgegevens, de AVG is niet van toepassing.
In de praktijk wordt nogal eens gedacht dat geanonimiseerde persoonsgegevens volledig beschermd zijn. Maar ook geanonimiseerde persoonsgegevens kunnen nog altijd een risico lopen: dit noemen we restrisico’s. Als een proces van anonimiseren wordt gestart is het goed om deze restrisico’s in kaart te brengen en te kijken of deze voorkomen kunnen worden. De restrisico’s zijn specifiek per casus maar in algemene zin kunnen zich de volgende vier restrisico’s voor doen.
Het grootste risico is dat van her identificatie. Kwaadwillende partijen kunnen proberen de geanonimiseerde gegevens te de-anonimiseren. De identiteit wordt dan alsnog achterhaald. Met gebruik van geavanceerde technieken of door combinatie met andere datasets kunnen de geanonimiseerde gegevens weer herleidbaar naar persoonsgegevens worden gemaakt.
Het tweede restrisico is dat van de-anonimisering door contextuele aanwijzingen. De direct herleidbare kenmerken zijn verwijderd uit de dataset, maar door het gebruik van zogenaamde contextuele aanwijzingen kunnen de gegevens alsnog herleid worden tot een individu. Door bijvoorbeeld combinaties van demografische gegevens of locatiegegevens te gebruiken kunnen individuen toch geïdentificeerd worden.
Een ander algemeen risico is dat van “persistentie”. Als de gegevens geanonimiseerd zijn bestaat nog altijd de mogelijkheid dat ze nog steeds niet geanonimiseerd aanwezig zijn in de organisatie. De niet anonieme data staan bijvoorbeeld nog op back-upsystemen, in logbestanden, of op andere locaties waarvan de gebruiker of beheerder zich mogelijk niet volledig bewust is. Ze kunnen dan nog steeds worden hersteld. Onder dit begrip valt ook het risico dat de gegevens op dit moment goed geanonimiseerd zijn maar dat met toekomstige technieken de gegevens weer herleidbaar kunnen worden gemaakt.
Een laatste risico is dat, ook al zijn de gegevens geanonimiseerd en de identificeerbare data verwijderd, er nog steeds sporen of aanwijzingen van deze gegevens achterblijven in systemen, databases, logbestanden, of elders. Deze zogenaamde residuen kunnen mogelijk worden gebruikt om informatie te verkrijgen over individuen of hun activiteiten.
Het is dus van belang om je bewust te zijn dat bij ook bij anonimisering er restrisico’s kunnen zijn. Breng deze goed in kaart voorafgaand en tijdens het anonimiseringsproces en neem maatregelen daarvoor. Daarbij helpt het om de meest geavanceerde, actuele anonimiseringstechnieken te gebruiken. Maar ook deze moeten periodiek beoordeeld worden: bieden ze nog steeds voldoende bescherming of zijn ze inmiddels ingehaald zijn door nieuwe technologische ontwikkelingen.
Als de anonimisering door de organisatie zelf uitgevoerd wordt, is het van belang om te controleren op de bovenbeschreven persistentie en residurisico. Zijn de gegevens niet ergens “achter” gebleven of zijn er nog sporen achter gebleven die identificatie alsnog mogelijk maken? Als de gegevens voor een bepaald gebruik, bijvoorbeeld onderzoek, geanonimiseerd zijn en de gegevens in herleidbare vorm ook nog in de organisatie aanwezig zijn, is een strikte toegangsautorisatie en controle daarop noodzakelijk.
Kortom, anonimiseren geeft een grotere bescherming voor de persoonsgegevens maar waterdicht is het niet.
Meet weten over het pseudonimiseren en anonimiseren van persoonsgegevens? Bekijk de cursus: Pseudonimiseren en anonimiseren van persoonsgegevens.