info@pleit.nl
088 002 84 99
Nieuws & blogs
Het pseudoniem als persoonsgegeven
“Pseudonimisering vermindert de koppelbaarheid tussen een dataset aan de oorspronkelijke identiteit van de betrokkene. Als zodanig is het een nuttige beveiligingsmaatregel, maar geen anonimiseringsmethode”. Aldus de Artikel 29 werkgroep, het belangrijkste adviesorgaan van de Europese privacy toezichthouders, in haar advies over anonimiseringstechnieken uit 2014. Dat Pseudonimisering in dit rapport toch wordt besproken, is volgens de Werkgroep eigenlijk vooral “vanwege de talloze misvattingen en vergissingen die gepaard gaan met het gebruik ervan”. Voer voor ICT- en privacy juristen dus.
Het is belangrijk dat bepaalde gegevens op persoonsniveau geanalyseerd kunnen worden. Denk aan medisch wetenschappelijk onderzoek waarvoor allerlei medische data gekoppeld kunnen worden aan medicatiegegevens. Het onderwerp wordt ook in andere sectoren actueel, gezien de recente discussies over ‘verder’ gebruik van leerling gegevens door uitgeverijen van leermiddelen; over de inzage in medische dossiers door verzekeraars voor fraudebestrijding; over analyse van reizigersstromen in het openbaar vervoer; over het gebruik van smartmeterdata in de energiesector; enzovoort.
Persoonsgegevens mogen zonder wettelijke grondslag niet zonder meer worden verwerkt, als er geen expliciete en geïnformeerde toestemming voor is gegeven. Dat toestemmingsvereiste is in theorie een heel mooi en nobel uitgangspunt, maar eraan voldoen blijkt in de praktijk vaak een onoverkomelijke uitdaging. De vraag is daarom steeds vaker, of pseudonimisering hèt middel is om te zorgen dat er geen sprake meer is van persoonsgegevens. Bij de beantwoording van die vraag komen de vergissingen en misvattingen om de hoek waar de Art. 29 werkgroep op doelt.
Pseudonimisering als privacy enhancing technology werd al bijna 10 jaar geleden door het CBP erkend als een manier om gegevens over personen privacy-veilig uit te wisselen en te verwerken, en vaak wordt dit gezien als een methode om persoonsgegevens om te toveren tot anonieme gegevens mits aan een aantal voorwaarden is voldaan, waaronder de tussenkomst van een Trusted Third Party. Echter, zegt de Art. 29 Werkgroep -terecht!-, als indirecte identificatie niet uitgesloten kan worden kan er nog steeds sprake zijn van persoonsgegevens, en leidt dus niet zomaar tot anonimisering. Wat nu?
Net als bij iedere anonimiseringsmethode, moet ook bij gepseudonimiseerde gegevens per situatie bekeken worden, of -zonder een onevenredige inspanning te moeten leveren- risico op herleidbaarheid kan ontstaan. Relevante aspecten bij de beoordeling of gepseudonimiseerde gegevens in voldoende mate anoniem zijn, zijn naast de mate van gevoeligheid van de gepseudonimiseerde gegevens, ook de context waarbinnen die (zullen) worden verwerkt, en de vraag wat binnen die context nog als onevenredige inspanning is te zien om tot herleiding te (kunnen) komen. Verder beperken van de indirecte herleidbaarheid kan, door aanvullend gebruik te maken van anonimiseringsinstrumenten, zoals aggregatie, coderen, verwijderen of juist het toevoegen van gegevens. Daarnaast is goede governance over de gepseudonimiseerde dataset een belangrijke randvoorwaarde; beleid ten aanzien van de toegang tot en het verspreiden van de gepseudonimiseerde data.
Zolang de informatiehonger exponentieel groeit en tegelijk de privacyregelgeving steeds meer uitkristalliseert, neemt de behoefte aan toepassing van privacy enhancing verwerkingmethoden, zoals pseudonimisering, sterk toe. Het uitgangspunt kan niet zijn, dat alle gepseudonimiseerde gegevens altijd persoonsgegevens zijn. Immers, dan zouden we op basis van de wet overstelpt moeten worden door uitgebreide, zeer volledig geformuleerde en juridisch waterdicht geformuleerde verzoeken om toestemming om onze gegevens te mogen gebruiken. De gemiddelde burger -inclusief ondergetekende- zit daar helemaal niet op te wachten. Die vindt het prima als die gegevens nuttig gebruikt worden. Mits gepast behandeld, kan ieder pseudoniem anoniem blijven. En heeft pseudonimisering nog steeds een mooie toekomst.
De auteur
Dirk de Jong is partner bij De Jong & Partners. Een gespecialiseerd juridisch adviesbureau met als focus ICT-recht en arbeidsrecht. Wij werken, met een stevige achtergrond in zowel de advocatuur als het bedrijfsjuridische vak, regelmatig - en graag ! - samen met advocaten en juridische afdelingen. Maar ook interdisciplinair in projecten met bijvoorbeeld specialisten op het gebied van ICT en security, inkoop- en contractmanagement en HRM.
Dirk de Jong is partner bij De Jong & Partners. Een gespecialiseerd juridisch adviesbureau met als focus ICT-recht en arbeidsrecht. Wij werken, met een stevige achtergrond in zowel de advocatuur als het bedrijfsjuridische vak, regelmatig - en graag ! - samen met advocaten en juridische afdelingen. Maar ook interdisciplinair in projecten met bijvoorbeeld specialisten op het gebied van ICT en security, inkoop- en contractmanagement en HRM.
"Al bloggend op weg naar PLEIT2015"
Deze blog is geschreven in het kader van PLEIT2015. Ben jij jurist op het gebied van ICT recht en wil jij graag een prikkelende of informatieve blog over dit thema delen? Of deel je graag jouw kennis als jurist over de ontwikkelingen op het gebied van ICT die jou raken? Stuur je blog dan naar: pleit@deadvocatenwijzer.nl. Wij verspreiden het artikel onder vermelding van je naam en (kantoor)website via de websites en social media kanalen van De Advocatenwijzer en PLEIT2015. Aanmelden voor PLEIT2015 kan via de website www.pleit.nl. Hier kan je ook voor meer informatie terecht.
