Achtergrond
In de AVG wordt gesproken over geanonimiseerde en gepseudonimiseerde persoonsgegevens. Dit zijn manieren om de verwerking van persoonsgegevens minder ingrijpend te laten zijn (gepseudonimiseerd) of gegevens zelfs niet onder het begrip persoonsgegevens te laten vallen (geanonimiseerd). Maar wanneer is er nu sprake van welke variant?
Om dat te bepalen gaan we eerst kijken naar de definities die in de AVG staan. De definitie van “pseudonimisering” is de volgende: “het verwerken van persoonsgegevens op zodanige wijze dat persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.”
Het begrip “anonimisering” staat niet als dusdanig in de AVG maar anonieme gegevens worden wel genoemd als zijnde gegevens die geen betrekking hebben op een geïdentificeerd of identificeerbare natuurlijke persoon. Het zijn simpelweg geen persoonsgegevens.
Ik kan mij voorstellen dat…
…wanneer je dit leest het nog een beetje abracadabra klinkt. Vandaar iets meer uitleg:
- Bij gepseudonimiseerde persoonsgegevens kan het bijvoorbeeld zijn dat de persoonskenmerken in de gegevens onleesbaar worden gemaakt. De persoonskenmerken kunnen vervolgens versleuteld worden opgeslagen en enkel toegankelijk worden gemaakt voor bepaalde personen.
- Voorbeelden van geanonimiseerde gegevens zijn persoonsgegevens die willekeurig worden omgezet in andere data of wanneer bepaalde delen van persoonsgegevens worden verwijderd waardoor ze niet meer herleidbaar zijn. Bij anonimisering is het belangrijk dat het proces niet teruggedraaid kan worden. Gegevens die anoniem gemaakt zijn, blijven anoniem.
Let wel op: de Autoriteit Persoonsgegevens is streng op het gebied van geanonimiseerde gegevens
Gegevens krijgen niet zomaar het stempel “anoniem”. Een recentelijk voorbeeld is het delen van locatiegegevens door telecombedrijven aan de overheid met betrekking tot het bestrijden van Covid-19. De Autoriteit Persoonsgegevens heeft in dit kader zich uitgesproken dat deze locatiegegevens nooit anoniem kunnen zijn. Wie weet waar iemand woont of werkt en die gegevens combineert met de “geanonimiseerde” locatiegegevens kan deze gegevens altijd herleiden naar een natuurlijke persoon. De lat voor anonieme gegevens ligt erg hoog, waardoor de AVG vaker op de door jou verwekte gegevens van toepassing is, dan je misschien denkt.
Geanonimiseerde en gepseudonimiseerde persoonsgegevens zijn een ingewikkeld onderwerp…
…maar kunnen wel een belangrijk onderdeel zijn van de technische maatregelen die je moet nemen in het kader van de AVG. Heb je vragen over door jou genomen maatregelen of over andere ingewikkelde onderwerpen in de AVG? Neem contact met ons op!