In de praktijk kom ik veel verschillende interpretaties tegen over de uitvoering en implementatie van de AVG. Zo ook als het gaat om anonimisering of pseudonimisering. Mij valt op dat het verschil tussen anonimisering en pseudonimisering niet altijd duidelijk is of hoe deze twee benaderingen elk een eigen vrij specifieke rol spelen in relatie tot de AVG.

In dit artikel doe ik daarom een poging in simpele taal uit te leggen wat de verschillen zijn en zoveel als mogelijk van de verwarring weg te nemen. 

Voordat we kunnen kijken naar de verschillen tussen anonimiseren en pseudonimiseren, moeten we eerst even terug naar de vraag: wat is volgens de AVG een persoonsgegeven.

In herinnering definieert de AVG een persoonsgegeven als volgt:

Met andere woorden staat hierboven dat het gaat over ‘alle informatie‘ die kan worden gebruikt om een personen van vlees en bloed te identificeren. In de praktijk spreken we ook wel over de ‘herleidbaarheid’ van een persoon met behulp van informatie.

Als sprake is van een stukje informatie dat iemand in staat stelt een persoon van vlees en bloed te identificeren, spreken we dus van een persoonsgegeven.

We moeten het ook even hebben over de term ‘PII’ (Personally Identifiable Information). Zeker in de IT wordt vaak gesproken over PII. Het is verleidelijk om deze term uitwisselbaar te gebruiken met het begrip ‘Persoonsgegeven’ uit de AVG, maar daarin schuilt een groot risico.

De term PII is vaak gericht op een specifieke set informatie die ‘direct’ naar een persoon leiden, zoals: een naam, een BSN of email. Deze definitie is echter te smal onder de AVG. Zoals we zojuist zagen gaat het namelijk over ‘alle informatie‘ die ‘herleidbaarheid‘ creert naar een persoon.

Een gegeven dat op zichzelf volkomen anoniem lijkt -denk aan de combinatie van postcode, type auto en geboortedatum- bevat geen klassiek PII-element. Toch is deze combinatie onder de AVG een persoonsgegeven omdat de optelsom ervan mogelijk herleidbaar is naar één uniek persoon.

Als duidelijk is geworden dat sprake is van een persoonsgegeven, dan is de neiging al snel direct erna na te denken over maatregelen als anonimisering of pseudonimisering. Ook hierin schuilt een risico. De vraag: zijn we gerechtvaardigd om over deze gegevens te beschikken, moet altijd eerst worden beantwoord.

In het kader van de AVG spreken we hier over de ‘grondslagen.’ In dit artikel zullen we niet nader ingaan op deze grondslagen maar gaan we ervan uit dat er een goede reden is om het gegeven op te slaan en te gaan verwerken.

Het is wel verstandig deze vraag nadrukkelijk te beantwoorden. De snelste en veiligste route is namelijk altijd het simpelweg verwijderen van een persoonsgegeven.

Je zult nu misschien denken: dit artikel ging toch over anonimiseren en pseudonimiseren? Waarom heb ik hier tot nu nog niets over gelezen?

In de praktijk zien we vaak de neiging om direct naar ‘de oplossing’ te rennen, vaak zonder het probleem volledig te begrijpen. De voorgaande paragrafen vormen de noodzakelijke basis voor dit inzicht. Namelijk: Als sprake is van een persoonsgegeven, en er is een goede reden om deze te verwerken, dan heb je met deze vaststelling de context van de persoonsgegevens in kaart gebracht.

Met deze context op je netvlies kun je gaan vaststellen welk risico met het persoonsgegeven gepaard gaat. De samenhang stelt je instaat allerlei vragen te beantwoorden over het persoonsgegeven. Dit is ook precies het doel van de gevreesde DPIA. Bijvoorbeeld wat doen we allemaal met het gegeven, waarom en met welk doel doen we dat, wie krijgt het allemaal onder ogen en waar blijft het, enzovoorts.

Het is in deze context dat duidelijk wordt of een gegeven moet worden beschermd. In de context wordt ook duidelijk of niet toch sprake is van een geanonimiseerd gegeven of dat er sprake is van pseudonimiseren. Anonimisering en pseudonimisering zeggen beiden iets over de context die we aan het beoordelen zijn en hebben een sterk verschillende uitkomst in de context van de AVG.

Kijken we strikt naar de technische functie, dan ontstaat in beide gevallen een nieuw afgeleid gegeven waarbij in de ene situatie de AVG onverkort van toepassing is en in de andere -mogelijkerwijs- niet.

Om dit vast te kunnen stellen is het van cruciaal belang de verschillende uitkomst van het anonimiseren en pseudonimiseren heel goed te begrijpen.

Hoewel beide verwerkingen tot doel hebben de privacy te beschermen creeren ze elk een totaal andere uitkomst die in beginsel gebaseerd is of was op een persoonsgegeven.

Pseudonimiseren

Wanneer we een persoonsgegeven ‘pseudonimiseren’ dan transformeren we het ingevoerde persoonsgegeven (PII) naar een andere gegevensvorm (output) zonder de relatie tussen beiden te verliezen. Bijvoorbeeld van een persoonsgegeven naar een versleutelde reeks op een QR-code of een uniek gebruikers id in een systeem. Voor een buitenstaander lijkt dit -mogelijk- willekeurige informatie, maar de technische relatie met de bron is nog altijd aanwezig.

Kenmerkend aan Pseudonimisering is dat er dus een strikte relatie blijft bestaan tussen het gepseudonimiseerde gegeven en de (bron)persoon. Dit betekent dat de uitkomst nog altijd een persoonsgegeven is. Dat voor het herleiden een aanvullende systeembewerking nodig is, is hierbij niet relevant. Het gepseudonimiseerde gegeven zelf verwijst namelijk nog altijd naar een persoon, ook al is de ontvanger niet direct in staat deze relatie te zien.

Onder de AVG is het gevolg dat je voor dit nieuw gecreerde persoonsgegeven opnieuw moet bepalen of aanvullende bescherming nodig is. Zo kan de wijze waarop of de plek waar de QR-code gebruikt wordt reden zijn om aanvullende maatregelen te treffen die je zonder deze toepassing mogelijk niet zou treffen.

Anonimiseren

Wanneer we een persoonsgegeven ‘anonimiseren’ dan betekent dit dat de ‘herleidbaarheid’ van een gegeven volledig en onomkeerbaar wordt vernietigd. Vaak ontstaat een statisctisch gegeven. Bijvoorbeeld: 30% van onze gebruikers rijdt een elektrische auto. Als dit lukt, dan is de AVG niet langer van toepassing.

Hierin schuilt echter een gevaarlijk grijs gebied. Zoals eerder aangegeven kan een combinatie van ‘unieke’ geanonimiseerde datapunten samen in sommige gevallen nog altijd een persoonsgegeven zijn. In die gevallen is in feite sprake van (een vorm van) pseudonimisering. 

Het directe gevolg is dus dat het gegeven alsnog als een persoonsgegeven onder de AVG valt met dito consequenties.

Het is misschien even zoeken maar de AVG sluit hier nadrukkelijk en naadloos op aan.

In artikel 32 lid a van de AVG is te lezen dat ‘pseudonimisering en versleuteling’ erkende beveiligingsmaatregelen zijn. Overweging 26 van de AVG stelt daarbij wel dat om vast te stellen of sprake is van pseudonimisering (als beveiligingsmaatregel), rekening moet worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt om de persoon direct of indirect te identificeren. Zoals beschikbare zoekvelden en selectietechnieken.

In overweging 26 van de AVG is verder te lezen wat de AVG verstaat onder ‘anonieme gegevens’ waarop de AVG niet van toepassing is. De overweging stelt dat dit gegevens zijn die geen betrekkking hebben op geidentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens omdat die zodanig anoniem zijn gemaakt (geanonimiseerd) dat de betrokkene niet of niet meer identificeerbaar is. Hierbij wordt nadrukkelijk verwezen naar ‘statistische of onderzoeksdoeleinden.

De grootste valkuil in de praktijk is de neiging om pseudonimisering te ‘verkopen’ als anonimisering. Het is een aantrekkelijke gedachte: je voert een technische bewerking uit en plotseling is de AVG niet meer van toepassing. Maar deze vlieger gaat zelden op.

Zoals we hebben gezien, is echte anonimisering in ons datarijke tijdperk een uitzondering, geen regel. In de overgrote meerderheid van de gevallen waarin men denkt te anonimeren, is er feitelijk sprake van pseudonimisering. De data zijn weliswaar ‘gemaskerd’, maar de herleidbaarheid blijft in de context van het systeem of de dataset bestaan.

Het gevolg is simpel, maar verstrekkend: de AVG blijft onverkort van toepassing.

Wanneer u pseudonimisering inzet, kiest u voor een uitstekende beveiligingsmaatregel, maar u kiest niet voor een juridische vrijbrief. U blijft verantwoordelijk voor de grondslag, de doelbinding en de rechten van de betrokkenen. Het labelen van data als ‘veilig’ ontslaat u nooit van de plicht om kritisch te blijven kijken naar de mens achter de gegevens.

Privacywaarborging vraagt niet om eenmalige technische trucjes, maar om een eerlijke beoordeling van de werkelijkheid. Alleen door het verschil tussen anonimiteit en pseudonimiteit scherp te hebben, bouwt u aan een fundament dat zowel juridisch als ethisch houdbaar is.