Pseudonimisering: zelf doen of uitbesteden?
Het zal inmiddels bij iedereen bekend zijn: vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. In mijn werk als privacy-consultant zie ik dat veel organisaties aan het worstelen zijn met het treffen van de juiste maatregelen. Nog los daarvan, blijkt een van de grote uitdagingen te zijn: hoe zorg je dat iedereen in de organisatie zich aan die maatregelen houdt en vooral: blijft houden? Het overgrote deel van de medewerkers is al druk genoeg met het uitvoeren van eigen taken en processen. Er blijft daardoor onvoldoende tijd en focus over om rekening te kunnen houden met alle privacyregels.
Bescherm je medewerkers tegen zichzelf
Je kunt niet van je medewerkers verwachten dat zij dag in dag uit de juiste privacy-afwegingen maken. Daarom zie ik het als een verantwoordelijkheid van de organisatie hen zoveel mogelijk te beschermen om te voorkomen dat er dingen fout gaan. De meest voor de hand liggende oplossing is aan iedereen duidelijk maken dat data die persoonsgegevens bevat, niet mag worden gebruikt voor bepaalde doeleinden. Wat je ook ziet is dat een organisatie zelf bepaalde data versleutelt door persoonsgegevens te pseudonimiseren, bijvoorbeeld met datamasking-software.
Iedere doorgewinterde privacyspecialist weet: hier begint de schoen te wringen. Het punt is namelijk dat er na verloop van tijd altijd iemand is die een bepaalde vraag heeft of een specifiek probleem moet oplossen. Iemand die zegt: “Hé, ik krijg deze data niet gekoppeld, maar ik weet dat er nog ergens een tabelletje is waar de informatie in staat die ik hiervoor kan gebruiken.” En dan, vaak lange tijd later, kom je erachter dat die data toch gekoppeld blijkt te zijn.
Als data gebruikt kán worden, dan wordt het ook gebruikt
Mijn stelling is: als data gebruikt kán worden, dan wordt het ook gebruikt. Uiteraard doet een medewerker dat niet met de intentie de wet te overtreden, maar je kunt niet verwachten dat hij zich bij iedere data-activiteit afvraagt of deze wel aan alle privacybepalingen en andere relevante wetten voldoet. Helaas is privacy-compliancy ook niet met alleen security, rechten en toegangsbeheer te regelen. Wát je met persoonsgegevens gaat dóen bepaalt namelijk of je gegevens mag combineren en gebruiken volgens de privacywetgeving. Als je ongeoorloofd gebruik van de data in je eigen infrastructuur wilt voorkomen, dan zul je een groot aantal management- en controleprocessen moeten inrichten. Dat is niet goedkoop en behoorlijk gecompliceerd. En dan nog: wannéér het fout gaat weet je niet, maar dát het een keer fout gaat is bijna onvermijdelijk.
Maar mijn gepseudonimiseerde data is toch wel veilig?
Nee dus. Ook al heb je je data gepseudonimiseerd, als het binnen de eigen organisatie is gedaan, heb je allereerst te maken met de uitdaging dat het gehele proces binnen één infrastructuur aanwezig is. Daarmee loop je altijd een risico dat alle informatie zoals encryptiesleutels of vertaaltabellen door iemand is in te zien. Met deze informatie is het mogelijk het proces terug te draaien of de pseudoniemen te herleiden door het nogmaals pseudonimiseren van bekende identiteiten. Het is niet voor niets dat de AVG eist dat “aanvullende gegevens apart worden bewaard” en er “technische en organisatorische maatregelen worden genomen”.
Waarom pseudonimisering meer is dan een tooltje of techniek
Wat zijn nu die concrete technische en organisatorische maatregelen die de wet vereist om pseudonimiseren op de juiste wijze uit te voeren? Allereerst moet je zorgen dat het proces van pseudonimiseren is afgeschermd. Het proces kent een ingaande stroom met leesbare persoonsgegevens, een pseudonimiseringsproces en vervolgens een uitgaande stroom met gepseudonimiseerde gegevens. Organisatorisch moet je zorgdragen voor een vierogenprincipe. Dit betekent dat er geen enkele medewerker mag zijn die op meer dan één van deze stappen autorisatie heeft. Dat leidt tot functionele en technische functiescheiding en ook bij bijvoorbeeld het inrichten van de back-ups dien je hier rekening mee te houden. Om te kunnen aantonen dat op de juiste wijze wordt gewerkt, moeten er controls zijn gedefinieerd in de ISO- en/of beveiligingsmaatregelenset. Die controls moet je controleren, valideren en vastleggen. Daar zit dus een stevig informatiebeveiligingsproces omheen.
En dan zijn er nog datalekken als gevolg van ongeautoriseerde toegang tot het netwerk. Om aantoonbaar te kunnen maken dat in zo’n geval de sleutels niet zijn gestolen, zijn serieuze infrastructurele waarborgen nodig. Als die waarborgen er niet zijn, moet je ervan uitgaan dat de sleutels ook zijn gelekt. Op zo’n moment wordt pijnlijk duidelijk dat, hoewel er technisch wel pseudoniemen zijn gemaakt, die pseudonimisering onder de streep geen extra bescherming heeft geboden.
Wie zegt dat een Trusted Third Party (TTP) dat beter kan?
Of een TTP zijn werk beter uitvoert dan wanneer je als organisatie zelf zou pseudonimiseren, daar kun je over discussiëren. Wat je wél zeker weet, is dat medewerkers bij een TTP als primaire focus hebben om de technische en organisatorische maatregelen uit voeren en te bewaken. En dat is nou precies wat voor medewerkers bij andere organisaties niet de primaire taak is. Door het inzetten van een TTP regel je automatisch ook de benodigde functie- en autorisatiescheidingen en wordt de aantoonbaarheid hiervan triviaal. Het gebruik van een TTP geeft bovendien een betrouwbaar aanzien omdat het aan de personen wiens data het betreft laat zien dat je serieus werk maakt van het beschermen van hun privacy.
Ja, maar een TTP kan toch ook gewoon worden gehackt?
Zeker! Maar in dat geval ben je alleen de pseudoniemenlijst kwijt, niet de gegevens die aan dat pseudoniem gerelateerd zijn. Een goede TTP bewaart namelijk niet de data waar het over gaat, maar alleen de koppeling van de sleutels met de pseudoniemen. Sterker nog: een goede TTP zorgt dat er helemaal geen leesbare gegevens via de TTP lopen, die zijn helemaal niet nodig voor deze rol. In het geval van een hack zal de vertaling (welke identiteit is welk pseudoniem geworden) wel degelijk worden gelekt, maar niet de informatie over het gedrag of de activiteiten van die identiteit. Het is in dat geval “onwaarschijnlijk dat deze inbreuk risico’s voor de rechten en vrijheden van natuurlijke personen met zich brengt”.
Conclusie
Ik hoop met bovenstaande duidelijk te hebben gemaakt dat je onvoldoende invulling geeft aan de wettelijke verplichtingen als je pseudonimisering alleen als een technische oplossing ziet. Daarnaast krijgen organisaties en medewerkers een onterecht gevoel van bescherming wanneer er niet op de juiste manier wordt gepseudonimiseerd en worden ze juist minder kritisch op het gebruik en de distributie van deze gegevens. Daarmee is het eindresultaat precies het omgekeerde van wat je wilde bereiken en neemt de privacybescherming niet toe maar juist af.
Definitie “pseudonimisering” in de AVG: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.
Lees ook:
- Wat is pseudonimiseren?
- Wat is het verschil tussen anonimiseren en pseudonimiseren?
- Hoe maak je data-analyse ook onder de nieuwe privacywetgeving (AVG) mogelijk?
Edwin Kusters
In zijn functie als bedenker van datagedreven besturingsoplossingen is Edwin al achttien jaar betrokken bij veelal grote BI-projecten waarvan de laatste zes met focus op de privacy-aspecten hiervan. Steeds vaker constateerde hij dat opdrachtgevers bepaalde klantanalysewensen hadden die in strijd waren met de Wbp (later vervangen door de AVG). Hij ging op zoek naar oplossingen die het toch mogelijk maakten om dergelijke analyses te kunnen uitvoeren. Techniek en respect voor de privacy waren daarbij het uitgangspunt, maar ook moest hij rekening houden met klantprioriteiten als time-to-market, kwaliteit van dienstverlening en compliancekosten. De oprichting van een specifiek los bedrijf, tegenwoordig bekend als Viacryp, bleek voor opdrachtgevers een van de meest effectieve oplossingen om invulling te geven aan deze complexiteit. Edwin spreekt met regelmaat over privacy op seminars en congressen en participeert in de NEN-werkgroep voor het ontwikkelen van een pseudonimiseringsnorm.
