Misverstand 2: pseudonimisatie

In de blogreeks De 7 grootste misverstanden over de AVG rekenen we af met de 7 meest gehoorde misverstanden. In de blog van vorige week werd uitgelegd dat bij de verwerking van persoonsgegevens de Algemene Verordening Gegevensbescherming (AVG) van toepassing is. Maar als we het hebben over gepseudonimiseerde gegevens dan denken veel mensen dat de AVG niet van toepassing is. Dit is een misverstand.

Eric Arthur Blair?

Heb je ooit gehoord van Eric Arthur Blair? Hij is beter bekend onder zijn pseudoniem: George Orwell, de schrijver van het befaamde boek 1984. Een pseudoniem is een valse naam of schuilnaam die duidelijk afwijkt van iemands echte naam en gebruikt kan worden om je identiteit af te schermen wanneer je de publiciteit opzoekt – zoals sommige schrijvers dat doen.

Pseudoniemen

Zoals gezegd, een pseudoniem kan een schuilnaam zijn: een andere naam dan die in je paspoort staat. Zo’n ‘schuilnaam’ hoeft niet daadwerkelijk een naam te zijn, maar kan ook een andere vorm hebben. Het kunnen allerlei soorten identificatiemiddelen zijn zoals een studentnummer, IP-adres, lidmaatschapsnummer van de sportvereniging, gebruikersnaam van een gamer of het bonuskaartnummer. Elk van deze gegevens fungeert als pseudoniem van de betrokkene achter deze schuilnaam. Een pseudoniem is daarom informatie over een identificeerbare natuurlijke persoon. En daarom kwalificeren gepseudonimiseerde gegevens als persoonsgegevens; met de conclusie dat de AVG van toepassing is op de verwerking van deze gegevens.

Pseudonimiseren

Neem het passagiersbestand van een vliegmaatschappij. Dit bevat namen, adressen en paspoortnummers van passagiers en hun reishistorie. Het bestand bevat dus ook unieke gegevens: aan de hand van de naam kan een passagier namelijk direct worden geïdentificeerd. Het bestand bevat waardevolle informatie, die analisten van het bedrijf graag zouden gebruiken voor commerciële doeleinden (Wat zijn populaire bestemmingen? Wanneer vliegen passagiers het liefst? enz.). Aan de andere kant zegt de informatie veel over de passagiers en is het niet wenselijk dat veel medewerkers van de vliegmaatschappij weten welke passagier waar en wanneer naartoe vliegt. Pseudonimisering biedt dan uitkomst.

Bij pseudonimiseren worden de passagiersgegevens (naam, adres, paspoortnummer) in het ene bestand opgeslagen en de reishistorie in het andere bestand. Bovendien krijgt elke passagier een passagiersnummer (P8705); er worden dus gegevens toegevoegd aan de dataset. Door de scheiding van de passagiersgegevens en de reishistorie is in het ene bestand te vinden welke passagier bij welk passagiersnummer hoort. En in het andere bestand is te vinden welk reisgedrag bij welk passagiersnummer hoort. Het is uiteraard wel belangrijk (en ook vereist in de AVG) dat deze bestanden apart worden bewaard. Op deze manier kunnen de reisgegevens geanalyseerd worden zonder dat elke medewerker de ware identiteit van de passagier kent. Zo wordt de verspreiding van gevoelige informatie binnen het bedrijf beperkt en worden de persoonsgegevens van passagiers beter beschermd.

Om de twee bestanden gescheiden te houden vereist de AVG technische en organisatorische beveiligingsmaatregelen. Een voorbeeld van een technische maatregel is dat er moet worden ingelogd in een systeem d.m.v. twee-factor authenticatie alvorens het bestand met passagiersgegevens bekeken kan worden. Een voorbeeld van een organisatorische maatregel is er voor zorgen dat het aantal mensen binnen de vliegmaatschappij met toegang - tot de beide bestanden - zeer beperkt is. Bijvoorbeeld alleen de manager IT en zijn assistent.

Wat volgt er in de blogreeks

Vorige week bespraken we al de misverstanden rondom persoonsgegevens. In de aankomende blogs van deze blogreeks zullen we de volgende onderwerpen behandelden:

Register van verwerkingen
Functionaris voor de Gegevensbescherming (FG)
Privacy Impact Assessment (PIA)
Convenanten
Toestemming

Wil jij duidelijkheid over wat de AVG nou precies betekent voor jouw organisatie? Houd dan onze blogpagina in de gaten de komende weken en lees/leer hoe je deze misverstanden over de AVG de wereld uit kan helpen.

Author image
Menno Loos
Adviseur bij Privacy Company


Dit vind je misschien ook interessant: