Privacy by Design: Anonimisering

Hoe neem je privacy mee bij het ontwikkelen van een dienst of in mijn dagelijkse werkzaamheden? En welke bijpassende securitymaatregelen zijn er in een specifiek geval geschikt? Denk je nu “wat een goede vragen, maar ik heb geen idee”, geen nood! Wij, Sophia van het privacyteam en Helma van het securityteam, nemen je in deze en de komende blogposts mee en leggen uit hoe je beide aspecten volgens Privacy by Design tackelt. Privacy by Design betekent dat je privacybescherming bij het ontwerp van je systeem of dienst meeneemt. Een belangrijk onderdeel van Privacy by Design is het beveiligen van je persoonsgegevens met securitymaatregelen. In deze blogserie behandelen we onderwerpen op basis van het Privacy by Design Framework van Privacy Company.

De kracht van anonimisering
Persoonsgegevens die je niet verwerkt, hoef je ook niet te beschermen. Data die herleidbaar zijn tot een persoon zijn persoonsgegevens, in tegenstelling tot gegevens waarvan op geen enkele manier te achterhalen is over welke persoon ze gaan. We noemen dit laatste type gegevens anoniem. De AVG is hier dus niet op van toepassing, wat een hoop verplichtingen scheelt. Privacy by Design kent daarom als eerste stap anonimisering als securitymaatregel. Dat begint al bij het verzamelen en verwerken van gegevens. Kun je anoniem verzamelen of verwerken, doe dat dan ook.
Het is alleen erg moeilijk om persoonsgegevens écht te anonimiseren. Veel methodes zijn namelijk toch omkeerbaar. Er is tegenwoordig zo veel informatie over personen beschikbaar, dat een persoonsgegeven of een set persoonsgegevens relatief gemakkelijk aan iemand kan worden gekoppeld, zelfs als bijvoorbeeld de naam is weggehaald. Als het mogelijk is om gegevens te herleiden tot een persoon door ze te combineren met andere gegevens, die mogelijk zelfs openbaar zijn, zijn deze gegevens niet anoniem. De AVG is er dan ook volledig op van toepassing. Bedenk dat zo’n 90% van mensen door drie gegevens kan worden geïdentificeerd: geboortedatum, postcode en geslacht. Herleidbaarheid is daarmee bijna onvermijdelijk. Het gebeurt dan ook met regelmaat dat een organisatie zegt dat een verwerking anoniem plaatsvindt, terwijl dat eigenlijk niet het geval is.
Let ook op wanneer je eerder verzamelde persoonsgegevens wilt anonimiseren. Dit is namelijk niet zonder meer toegestaan, omdat het anonimiseren zelf een verdere verwerking is waar de AVG op van toepassing is. Je moet dus voldoen aan eisen rondom doelbinding. Daar waar het gaat over onderzoek (historisch, statistisch, wetenschappelijk) wordt overigens al snel aangenomen dat er een wettelijke verwerkingsgrondslag is.
Als je een bepaalde methode kiest om te anonimiseren, moet je kunnen onderbouwen dat die methode voldoende garanties biedt, zodat de data zelfs in combinatie met andere gegevens niet alsnog leidt tot identificatie van een individu. Bijvoorbeeld: mannen van een bepaalde afdeling zijn vaker ziek dan vrouwen en je weet dat er op die afdeling slechts drie mannen zijn; dan weet je al snel over wie het gaat. Zulke gegevens kunnen alleen in geaggregeerde vorm (grotere aantallen) anoniem blijven. Het goed anonimiseren van gegevens is een specialisme, in veel gevallen iets voor een techneut.
Tips
- Anoniem verzamelen: werk niet met accounts, maar geef bijvoorbeeld iedere deelnemer (aan bijvoorbeeld een enquête) een code die niet tot de deelnemer herleidbaar is en gebruik een publieke url. Sla geen browserinformatie op (soort browser, cookie-informatie, taalinstellingen, etc.).
- Anoniem verwerken (wanneer je de identiteit van betrokkenen tijdens het verzamelen wel kent): koppel naam of e-mailadres (de ‘identifiers’) los van de antwoorden en sla de identifiers niet op. Koppel geen verfijnde labels (b.v. niet postcode, maar reistijd – niet de leeftijd, maar een leeftijdsgroep) en aggregeer.
- Achteraf anonimiseren? Gebruik technieken als data-encryptie, datamasking (123***) en zorg voor goed toegangsbeheer. In een dataset alleen wat getallen wijzigen of het inkorten van een reeks getallen zoals het IP-adres, is vaak niet voldoende. Betrek een specialist. Let op; het is ook van belang dat de data integer is, anders leidt het anonimiseren misschien tot fouten of onjuiste conclusies.
Technieken als Federated Learning (delen van resultaten, niet de data) en MultiParty Computation (berekeningen uitvoeren op versleutelde data en de analyse ontsleutelen) helpen ook om toch veilig te werken bij het combineren van datasets. Ook hier heb je een specialist nodig. Heb je vragen of opmerkingen? Dan kun je altijd terecht bij privacy-legal@surf.nl en security@surf.nl!
Anonimiseren en pseudonimisering
Een alternatieve beveiligingsmaatregel op anonimisering is pseudonimisering. Hierbij zorg je ervoor dat persoonsgegevens niet aan een persoon kunnen worden gekoppeld zonder aanvullende informatie. In dit artikel lees je hier meer over.