Wat is het verschil tussen anonimiseren en pseudonimiseren?

Wat is het verschil tussen anonimiseren en pseudonimiseren - Viacryp

Over deze vraag heb ik de laatste jaren al menig discussie mogen voeren. Tegenwoordig begin ik met een tegenvraag: “Waarom is dat relevant om te weten?”. In bijna alle gevallen blijkt de vraagsteller op zoek naar bevestiging dat geanonimiseerde data niet onder de privacywet valt en gepseudonimiseerde data wel.


Strikt genomen kan dat een correct statement zijn, maar helaas alleen als je de definities van anonimiseren en pseudonimiseren gebruikt zoals ze in de wet staan. Deze wijken af van wat in het dagelijks gebruik wordt gehanteerd. Ik heb wel eens de proef op de som genomen en een aantal familieleden en vrienden gevraagd om wat gegevens voor mij te anonimiseren. Steevast beperkten zij zich tot het verwijderen van de direct identificerende gegevens zoals de naam of het bsn-nummer of door een balkje over een foto te plakken.

Persoonlijk vind ik het een fout van de wetgever om een afwijkende definitie van ‘anoniem’ te creëren en deze niet expliciet te definiëren. Het was beter geweest om het woord helemaal niet te gebruiken.

Anonimiseren en pseudonimiseren in de AVG

Wat zijn in de AVG dan de definities van pseudoniem en anoniem? Anoniem of anonimiseren wordt niet gedefinieerd in de wettekst. Toch komt het woord op een cruciaal punt terug. In recital 26 staat:

“De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens…”

Oftewel: als gegevens anoniem zijn, is de wet niet van toepassing. Wat hier eigenlijk staat, en wat waarschijnlijk duidelijker was geweest, is: “… op gegevens die geen persoonsgegevens (meer) zijn”. De wet is namelijk van toepassing op “de verwerking van persoonsgegevens” (artikel 2 lid 1) en voor persoonsgegevens is wel degelijk een definitie in artikel 4(1) met als kern “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”.

De AVG kent wel een definitie voor pseudonimisering. Die staat in artikel 4(5):

“Het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.”

Ook hier is de definitie breder dan wat gangbaar is. Het betreft hier dus meer dan alleen technische maatregelen. Hier heb ik al eerder over geschreven.

Om het verschil tussen deze twee definities goed te kunnen duiden is het door de gezamenlijke toezichthouders in 2014 gepubliceerde document over anonimisatie: ‘wp216’ cruciaal. De definities die in dit document zijn opgenomen, zijn in de AVG niet wezenlijk veranderd en dus nog steeds relevant: het essentiële verschil tussen anonimiseren en pseudonimiseren is dat anonimiseren een onomkeerbaar proces is en pseudonimiseren een omkeerbaar proces.

Indirecte identificeerbaarheid

Omkeerbare processen leiden tot gegevens die nog steeds persoonsgegevens zijn. Bij onomkeerbare processen is het de vraag of de resterende gegevens nog steeds persoonsgegevens zijn. Dit is het tweede belangrijke punt waaruit vaak onjuiste conclusies worden getrokken. De vraag die je in dat geval moet beantwoorden is of deze resterende gegevens identificeerbaar zijn. De toets daarvoor staat ook in recital 26:

“Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren.”

Vaak wordt voorbijgegaan aan het zinsdeel “of door een andere persoon”. Het feit dat je de data wel of niet aan anderen geeft, is in de toets niet relevant. De toets dwingt je ertoe uit te gaan van een scenario dat de gegevens openbaar zijn, wat toegestaan zou zijn als het niet meer onder de wet zou vallen. Je moet jezelf de vraag te stellen of er iemand in de wereld is die de mogelijkheid heeft (delen van) de gegevens te herleiden naar personen. Het antwoord op deze vraag blijkt praktisch altijd “ja” te zijn, waardoor er nog steeds sprake is van persoonsgegevens.

Herleidbaarheid bijna niet te voorkomen

Hoe complex en bijna onmogelijk het is om gedetailleerde persoonsgegevens zo te bewerken dat het geen persoonsgegevens meer zijn, is terug te lezen in de wp216-opinie. Alleen in specifieke en zeer goed ontworpen verwerkingen is dit mogelijk. De toezichthouders schrijven dan ook zelf:

“Het is daarom van wezenlijk belang in te zien dat wanneer een voor de verwerking verantwoordelijke de originele (identificeerbare) gegevens niet verwijdert op gebeurtenisniveau, en een deel van die dataset doorgeeft (bijvoorbeeld na het verwijderen of maskeren/afschermen van identificeerbare gegevens), de resulterende dataset nog steeds valt onder de noemer van persoonsgegevens. Uitsluitend wanneer de voor de verwerking verantwoordelijke de gegevens dermate samenvoegt (aggregeert) dat de individuele gebeurtenissen niet langer identificeerbaar zijn, kan de resulterende dataset als anoniem worden aangemerkt. Wanneer een organisatie bijvoorbeeld gegevens over reizigersbewegingen verzamelt, worden de individuele reispatronen op gebeurtenisniveau nog steeds met persoonsgegevens gelijkgesteld voor elke partij, en wel zolang de voor de verwerking verantwoordelijke (of enige andere partij) toegang heeft tot de oorspronkelijke onbewerkte gegevens, ook al werden de direct identificerende gegevens („identificatoren”) verwijderd uit de aan derden doorgegeven dataset.”

Oftewel: je kunt masken, hashen, blanken, pseudonimiseren en anonimiseren, maar zolang je niet aggregeert (gegevens in groepen samenvoegt) en de oorspronkelijke gegevens blijven bestaan, blijft iedere bewerkte set een set met persoonsgegevens.

Conclusie

Laat je vooral niet misleiden door statements dat gegevens geanonimiseerd en/of anoniem zijn en daarmee niet meer onder de AVG zouden vallen. Geanonimiseerd zijn ze vast, maar persoonsgegevens waarschijnlijk ook. Als je daarvan uitgaat kun je je focussen op het zo zorgvuldig mogelijk verwerken ervan.

Terug naar de vraag waar het mee begon: wat is het verschil tussen anonimiseren en pseudonimiseren? De conclusie is: er is in de kern maar één verschil: is het proces omkeerbaar of niet. Omkeerbare technieken zijn vormen van pseudonimiseren en niet-omkeerbare technieken zijn vormen van anonimiseren. Beide zijn voorbeelden van technieken die onder de noemer Privacy Enhancing Technologies vallen. Het zijn belangrijke maatregelen bij het beschermen van persoonsgegevens. Per situatie bepaal je welke techniek passend is.

Ter illustratie van de hoeveelheid ruis rondom al deze termen, zal ik in een volgend artikel ingaan op pseudonimiseringsdiensten die aantoonbaar onomkeerbaar zijn en daarmee voor de AVG eigenlijk moeten worden gezien als anonimiseren.


Lees ook:


Edwin Kusters

Over ons - Edwin Kusters - Viacryp

In zijn functie als bedenker van datagedreven besturingsoplossingen is Edwin al achttien jaar betrokken bij veelal grote BI-projecten waarvan de laatste zes met focus op de privacy-aspecten hiervan. Steeds vaker constateerde hij dat opdrachtgevers bepaalde klantanalysewensen hadden die in strijd waren met de Wbp (later vervangen door de AVG). Hij ging op zoek naar oplossingen die het toch mogelijk maakten om dergelijke analyses te kunnen uitvoeren. Techniek en respect voor de privacy waren daarbij het uitgangspunt, maar ook moest hij rekening houden met klantprioriteiten als time-to-market, kwaliteit van dienstverlening en compliancekosten. De oprichting van een specifiek los bedrijf, tegenwoordig bekend als Viacryp, bleek voor opdrachtgevers een van de meest effectieve oplossingen om invulling te geven aan deze complexiteit. Edwin spreekt met regelmaat over privacy op seminars en congressen en participeert in de NEN-werkgroep voor het ontwikkelen van een pseudonimiseringsnorm.