Anonimiseren van data

Ook als je de gegevens los van elkaar bewaart, kan door het samenvoegen van de gegevens achterhaald worden welke gezondheidsgegevens bij welk persoon horen. Wanneer de gegevens herleidbaar zijn tot een persoon, dan hebben we het over pseudonimiseren. Onder de Algemene verordening gegevensbescherming (AVG) wordt met pseudonimiseren het volgende bedoeld:

‘het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld’.

In andere woorden: door het naast elkaar leggen van gegevensverzameling (dataset) A en dataset B wordt duidelijk wie de persoon is. Ook als je alleen dataset A hebt of deze deelt met een onderzoeker, gebruik je geen anonieme gegevens en vallen deze gegevens onder de AVG.

Anonieme data kan namelijk op geen enkele manier gekoppeld worden aan een individu. Data die compleet anoniem is valt niet onder de AVG.

Encryptie is niet een manier om gegevens te anonimiseren. Het is een belangrijke manier om informatie te beveiligen. Versleutelde data is data die is gepseudonimiseerd. Door data te versleutelen kan iemand met de juiste inloggegevens (sleutel) wel bij de data komen of twee datasets aan elkaar koppelen. Het proces van ontsleutelen wordt decryptie genoemd. Iemand zonder de juiste sleutel kan niet bij de data komen.

Het is goed om te onthouden dat versleutelde data geen anonieme data is. Het is te herleiden tot een individu en valt onder de AVG. Als een wetenschapper onderzoek doet met pseudonieme data dan moet degene zich aan de AVG richtlijnen houden. Zie ook handreiking ontsluiten patiëntgegevens voor wetenschappelijk onderzoek van het RIVM.

Dit is niet waar. Als het proces van anonimiseren goed is uitgevoerd en ervoor zorgt dat de data zijn doel behoudt, blijft de data bruikbaar. Het doel van anonimisering is voorkomen dat personen in een dataset worden geïdentificeerd (heridentificatie). Toch kan anonimiseren er soms voor zorgen dat data minder bruikbaar wordt. Denk hierbij bijvoorbeeld aan het indelen van personen op leeftijd per 10 jaar. Door niet de precieze leeftijd te registreren wordt de kans op heridentificatie kleiner, maar wordt de data ook minder bruikbaar. Dit wil niet zeggen dat de gegevens nutteloos worden, maar dat het nut afhangt van het doel en het risico op heridentificatie.  

Soms wordt er juist voor anonimisering gekozen zodat data bruikbaar blijft. In de AVG staat dat als de persoonsgegevens voor hun doeleinden zijn gebruikt en de bewaartermijn verstreken is, ze verwijderd moeten worden. Daarom kiezen sommige bedrijven ervoor om de data die ze hebben verzameld te anonimiseren. De persoonsgegevens worden dan losgekoppeld en verwijderd uit de dataset.

Gegevensminimalisatie

Het principe van "gegevensminimalisatie" houdt in dat degene die de data verwerkt of verstrekt bepaalt of het nodig is met persoonsgegevens te werken om een bepaald doel te bereiken, of dat dat doel ook kan worden bereikt met anonieme gegevens. Soms wordt er besloten dat het anoniem maken van de gegevens niet past bij het beoogde doel. Bijvoorbeeld omdat leeftijd en geslacht bepalende factoren zijn. In dat geval moet degene die de data verwerkt kiezen tussen het verwerken van persoonsgegevens (en het gebruik van bijvoorbeeld pseudonimisering) en het toepassen van de AVG, of om de gegevens helemaal niet te verwerken.

Volgens de AVG zijn gegevens pas echt anoniem als het ‘redelijkerwijs’ onmogelijk is personen te identificeren, waarbij ook rekening moet worden gehouden met de huidige en toekomstige technische ontwikkelingen. De kans bestaat dat in de toekomst door nieuwe technische ontwikkelingen het mogelijk wordt om te achterhalen over wie anonieme gegevens gaan. Bijvoorbeeld door nieuwe mogelijkheden voor het combineren van datasets. Daarom is het belangrijk dat de datavoorziening up to date is.

Meer tips en informatie over veilig anonimiseren en publiceren van data vind je in deze handreiking: Handreiking anonimiseren door Community van Data Experts Zorggegevens Informatieberaad Zorg. De handreiking is geschreven door de community van Data Experts Zorggegevens van het Informatieberaad Zorg.

Doordat iedere organisatie uniek is en data verzameld op een andere manier en met andere doeleinden, kan een bedrijf niet het proces van een soortgelijk bedrijf kopiëren. Er moet rekening worden gehouden met de risico’s van heridentificatie. Deze risico’s zijn afhankelijk van het soort bedrijf en de context van de gegevens (zie ook gegevensminimalisatie). Doordat het anonimiseren van data afhankelijk is van de context, is het ook niet mogelijk om het proces van anonimiseren volledig automatisch te doen.

Persoonsgegevens hebben een waarde op zich, voor de personen zelf en voor derden. Dagelijks zijn er opzettelijke en onbedoelde pogingen waardoor heridentificatie mogelijk wordt. Opzettelijke pogingen, ook wel hack genoemd, zijn bedoelt om persoonlijke data te achterhalen, zoals in mei 2021 in een ziekenhuizen in Ierland gebeurde: Computers in Ierse ziekenhuizen uit voorzorg uitgeschakeld na hack | NOS. Onbedoelde pogingen komen voort uit datalekken of het vrijgeven van bepaalde persoonsgegevens. Hierbij kan het ook zo zijn dat iemand per toeval een ander herkend in een dataset. Heridentificatie van een persoon kan ernstige gevolgen hebben. In wat soms onschuldige informatie lijkt, bijvoorbeeld filmvoorkeuren, kan iemands politieke voorkeur of seksuele geaardheid naar voren komen. Dit soort bijzonder gevoelige gegevens worden in het bijzonder beschermd door de AVG-wetgeving.