image

Privacytoezichthouder: pseudonimisering is geen anonimisering

woensdag 5 mei 2021, 12:12 door Redactie, 4 reacties

De AVG stelt dat anonieme data informatie is die niet naar een geïdentificeerd persoon of identificeerbaar persoon herleidbaar is of persoonlijke data is die op zo'n manier is geanonimiseerd dat de persoon in kwestie niet of niet langer is te identificeren. Bij het anonimiseren van datasets gaan organisaties nog weleens de fout in, zo stelt de Spaanse privacytoezichthouder AEPD, die in een nieuw document tien misverstanden over anonimisering behandelt (pdf).

Volgens de AEPD speelt anonieme data een belangrijke rol bij allerlei onderzoeken. Het is dan wel belangrijk dat de data anoniem is en niet te herleiden is naar individuele personen. In de praktijk komt het voor dat anonimisering en pseudonimisering door elkaar worden gehaald. De AVG omschrijft pseudonimisering als het verwerken van persoonlijke data op zo'n manier dat de persoonlijke data niet langer meer aan een specifiek datasubject is toe te schrijven zonder het gebruik van aanvullende informatie.

Hierbij moet deze aanvullende informatie gescheiden worden bewaard. Aangezien het door middel van deze aanvullende informatie nog steeds mogelijk is om personen te identificeren, is gepseudonimiseerde persoonlijk data nog steeds persoonlijke data, zo stelt de Spaanse privacytoezichthouder. Geanonimiseerde data daarentegen is niet naar een specifiek individu te herleiden. Zodra de data is geanonimiseerd zijn individuen niet langer te identificeren en valt data niet meer onder de AVG.

Ook stelt de AEPD dat encryptie geen anonimiseringstechniek is, maar wel een handige tool kan zijn bij pseudonimisering. Daarnaast waarschuwt de toezichthouder dat het anonimiseren van data niet altijd mogelijk is. Dit is bijvoorbeeld het geval met hele kleine datasets, zeer verschillende datacategorieën of wanneer de dataset zeer veel demografische attributen of locatiegegevens bevat. Met het nu gepubliceerde document wil de AEPD misverstanden over anonimisering wegnemen.

Image

Reacties (4)
05-05-2021, 19:44 door karma4
In de GDPR staat en de toelichting met WP27 staat letterlijk het verschil tussen pseudonimiseren en anononimiseren.
Allles wat te koppelen zou zijn aan een persoon is op zijn beste gepseudonimiseerd en want niet mere te herleiden valt naar persoon (k-anonimity) is pas anoniem. Dat het spraakgebruik een andere definitie hanteert is een gegeven.

Dat toezichthouders na al die jaren nog niet bewust zijn van dat verschil met de werkelijke definitie in de GDPR is ernstig.
05-05-2021, 22:13 door Anoniem
ja, dit zei Ferd Grapperhaus ook al bij de 2e ronde wetsvoorstellen met betrekking tot kortere beschouwing over de AVG, medio 2018.
Beide statements, Spaanse privacytoezichthouder AEPD en Ferd Grapperhaus, illustreren hoe ver het gelijk van Edward Snowden over het belang dat bevolkingen privacy hier in Europa goed leren bevatten.
Ondertussen wordt onze privacy anno 2020-2021 ijskoud aan de kant wordt geschoven.
Je zou zeggen dat zoiets MINIMAAL een nieuwe beleidslijn is en minimaal uitgebreide memorie vergt, niet gewoon met spoed erdoor heen jassen zoals Hugo de Jonge doet/deed.

Dat het pseudo-gelijk schakelen met maatregelen van pseudonimisering geen anonimisering is, moet Hugo de Jonge 3 november 2020 echt wel hebben geweten.
Dat het pseudonimiseren voor Hugo de Jonge toen nog altijd een voldoende reële optie (b)leek geeft enorm te denken.
Helemaal nadat dit nota bene plaats vond na tal van mislukte app pogingen rond de Pasen 2020 t/m augustus 2020 van deze Hugo de Jonge.
Het geeft blijk dat Hugo de Jonge geen veelomvattende notie heeft van privacy.
Hoe moet dat dan niet in de kabinet besprekingen zijn verlopen.
Hugo die even iedereen vriendelijk commandeert, met Mark Rutte op dreigende achtergrond als een Damocles?

En alsof met Hugo de Jonge en zijn opvolgers enkel betrouwbare politici kunnen/zullen komen die dan opeens wel om kunnen gaan met privacy en dat niet tot bij-criterium verlagen.
Nee, dan is de privacy en persoonlijke levenssfeer van onschuldige burgers al heel invasief op ingebroken.
06-05-2021, 20:05 door Anoniem
Door karma4: In de GDPR staat en de toelichting met WP27 staat letterlijk het verschil tussen pseudonimiseren en anononimiseren.
Allles wat te koppelen zou zijn aan een persoon is op zijn beste gepseudonimiseerd en want niet mere te herleiden valt naar persoon (k-anonimity) is pas anoniem. Dat het spraakgebruik een andere definitie hanteert is een gegeven.

Dat toezichthouders na al die jaren nog niet bewust zijn van dat verschil met de werkelijke definitie in de GDPR is ernstig.

Pseudoniemiseren is een pseudoniem toekennen.
In plaats van "Jan Jaap" als naam, staat er bijvoorbeeld "Mr. X".

Pseudoniemisering biedt geen enkele garantie dat "Mr. X" niet te herleiden is naar "Jan Jaap".

Als de data set bijvoobeeld ook heeft:

"Mr. X woont in Verwegistan."
"Mr. X heeft een Blauwe Opel."
"Mr. X is geboren in 1984"
...
Dan is het misschien nog steeds mogelijk om te herleiden om wie het gaat.

Belangrijk is dus om voldoende data te pseudonimiseren, niet enkel de persoonsdata
Of verschillende pseudoniemen te gebruiken per dataset om het combineren van datasets tegen te gaan.

In princiepe kan je dit mathematisch afchecken hoe goed de gebruikte pseudoniemisatie is, want zonder analyse kan je dat onmogelijk zeggen.
07-05-2021, 19:03 door karma4
Door Anoniem: .....
Belangrijk is dus om voldoende data te pseudonimiseren, niet enkel de persoonsdata
Of verschillende pseudoniemen te gebruiken per dataset om het combineren van datasets tegen te gaan.

In princiepe kan je dit mathematisch afchecken hoe goed de gebruikte pseudoniemisatie is, want zonder analyse kan je dat onmogelijk zeggen.
Je geeft de gebruikelijke fout aan. Je hebt unieke gegevens welke bij een persoon horren. Ook al weet je niet om wie het gaat , spraakgebruik anoniem, volgens de gdpr is dat gepseudonimiseerd..
Op het moment dat je eem sleutel hebt is het zeker gepseudonimiseerd.

Heb je alleen een attribuut zoals deze persoon woont in A dan heb je als je tellengen doet iets als vandaag waren er 60 klanten uit A en 90 uit B bij deze winkel. Dat wordt snel heel lastig te herleiden.

De GDPR zegt bij pseudonimisatie tevens de eis van een proportiknele inspanning voor die herleisbasrheid met een risicoinschatting.
Het is niet zo dat wat heel theoretisch misschien en mdt hoge kosten mogelijk zou zijn daarom verboden zou zijn. De GDPR stelt dat het dan juist tiegestaan is. Vreemd is dat de AP van schuldig tenzij uitgaat en niet van de normale houding in een vrine wereld: onschuldig tenzij.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.