Pseudonimisering
ConceptenMethode om gegevens niet meteen te kunnen verbinden met een persoon. De persoonsgegevens vervangt men via een formule door een code. De formule en de persoonsgegevens bewaart men op een andere plek. Zo kan men altijd nagaan om welke persoon het gaat.
Pseudonimisering is een gegevensbeschermingstechniek waarbij direct identificerende persoonsgegevens worden vervangen door een pseudoniem, een versleutelde code of een willekeurig gegenereerd nummer. De koppeling tussen het pseudoniem en de oorspronkelijke identiteit wordt apart bewaard, zodat herleiding naar de persoon alleen mogelijk is voor wie over deze koppelingsleutel beschikt. De AVG definieert pseudonimisering als het verwerken van persoonsgegevens op zodanige wijze dat ze niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat aanvullende gegevens worden gebruikt die apart worden bewaard.
Het cruciale verschil met anonimisering is dat pseudonimisering omkeerbaar is. Bij anonimisering worden identificerende elementen permanent vernietigd, waardoor herleiding tot een persoon onmogelijk wordt en de data niet meer als persoonsgegevens kwalificeert onder de privacywetgeving. Geanonimiseerde gegevens vallen niet meer onder de AVG. Gepseudonimiseerde gegevens blijven echter persoonsgegevens in de zin van de AVG, omdat herleiding in principe mogelijk blijft voor de partij die over de koppelingsleutel beschikt. Dit onderscheid heeft belangrijke juridische consequenties voor hoe je met de data mag omgaan en welke verplichtingen van toepassing blijven.
Waarom is pseudonimisering belangrijk?
Pseudonimisering is een van de beveiligingsmaatregelen die de AVG expliciet noemt in artikel 32 als voorbeeld van passende technische bescherming van persoonsgegevens. Het biedt een balans tussen gegevensbescherming en bruikbaarheid van de data: de gegevens blijven bruikbaar voor analyses, wetenschappelijk onderzoek en verwerking, terwijl het risico op ongeautoriseerde identificatie van betrokkenen aanzienlijk wordt verminderd ten opzichte van het werken met onbeschermde persoonsgegevens.
Bij een datalek is het verschil significant en kan het de consequenties voor de organisatie aanzienlijk beinvloeden. Als gepseudonimiseerde data op straat komt te liggen zonder de bijbehorende koppelingsleutel, is het risico voor betrokkenen beperkt omdat de data niet direct herleidbaar is tot specifieke personen. De Autoriteit Persoonsgegevens beschouwt pseudonimisering als een relevante factor bij het beoordelen of een datalek gemeld moet worden aan betrokkenen en welke impact het lek heeft op hun privacy.
Voor organisaties die onder de NIS2-richtlijn of sectorspecifieke regelgeving vallen, draagt pseudonimisering bij aan het aantonen van compliance met de eis om passende technische maatregelen te implementeren voor de bescherming van gevoelige gegevens. In de zorgsector is pseudonimisering van patientgegevens essentieel voor het delen van data voor wetenschappelijk onderzoek zonder de privacy van patienten te schenden. In de financiele sector beschermt het klantgegevens bij interne analyses, rapportages en het delen van data met derde partijen voor compliance-doeleinden.
Hoe pas je pseudonimisering toe?
Er bestaan verschillende technieken voor pseudonimisering, elk met eigen voor- en nadelen die de keuze afhankelijk maken van de specifieke use case en het beoogde beschermingsniveau. De eenvoudigste methode is het vervangen van identificerende velden zoals naam, BSN en e-mailadres door een willekeurig gegenereerd nummer of alfanumerieke code. De koppelingstabel die de codes verbindt aan de oorspronkelijke identiteiten wordt apart opgeslagen, idealiter versleuteld en met strenge toegangscontrole beperkt tot een minimum aantal geautoriseerde medewerkers die de sleutel nodig hebben voor hun werkzaamheden.
Tokenisatie is een geavanceerdere vorm waarbij gevoelige data wordt vervangen door niet-gevoelige tokens die buiten het eigen systeem geen betekenis hebben en niet kunnen worden teruggerekend. De originele data wordt opgeslagen in een beveiligde token vault die alleen toegankelijk is voor geautoriseerde systemen via beveiligde API-calls met authenticatie. Tokenisatie wordt veel gebruikt bij betalingsverwerking, waar creditcardnummers worden vervangen door tokens zodat de werkelijke kaartnummers niet worden opgeslagen in het transactiesysteem of gedeeld met derden.
Hashing met een geheime salt is een cryptografische methode waarbij identificerende gegevens worden getransformeerd via een hashfunctie die niet omkeerbaar is zonder de salt te kennen. Door een geheime salt toe te voegen wordt voorkomen dat aanvallers via rainbow table-aanvallen de hash kunnen terugrekenen naar de originele waarde. De hash is deterministisch, waardoor dezelfde input altijd dezelfde output geeft. Dit maakt het mogelijk om records te koppelen over meerdere datasets zonder de oorspronkelijke identiteit te kennen, wat bijzonder nuttig is voor wetenschappelijk onderzoek en statistische analyses.
Bij de implementatie is het essentieel om de koppelingsleutel of salt gescheiden te bewaren van de gepseudonimiseerde dataset, bij voorkeur op een ander systeem met eigen toegangscontroles en een apart beheerteam. Gebruik het principe van least privilege om te bepalen wie toegang heeft tot de koppelingsleutel en beperk dit tot het absolute minimum. Documenteer welke pseudonimiseringstechniek is toegepast, welke velden zijn gepseudonimiseerd, en wie bevoegd is om de data te herpersonaliseren. Voer regelmatige access reviews uit op de koppelingsleutel, vergelijkbaar met het beheer van andere gevoelige encryptiesleutels in je organisatie.
Pseudonimisering in de praktijk
Een middelgroot ziekenhuis wilde patientgegevens delen met een universiteit voor medisch onderzoek zonder de privacy van patienten te schenden of de AVG te overtreden. Het ziekenhuis pseudonimiseerde de dataset door patientnamen, BSN-nummers en geboortedata te vervangen door unieke alfanumerieke codes die geen relatie hadden met de originele waarden. Medische gegevens zoals diagnoses, behandelingen en labresultaten bleven intact en koppelbaar via de codes, maar waren niet herleidbaar tot individuele patienten zonder toegang tot de koppelingsleutel.
De koppelingstabel werd bewaard in een versleutelde database op het ziekenhuisnetwerk, alleen toegankelijk voor twee daartoe aangewezen medewerkers van de afdeling privacy en compliance met specifieke autorisatie. De onderzoekers aan de universiteit ontvingen uitsluitend de gepseudonimiseerde dataset en hadden op geen enkele manier toegang tot de koppelingstabel of de originele patientgegevens. Wanneer een onderzoeksresultaat relevant bleek voor de behandeling van een specifieke patient, kon het ziekenhuis via de koppelingstabel de betreffende patient identificeren en het behandelteam informeren.
Het ziekenhuis documenteerde het gehele proces in een Data Protection Impact Assessment (DPIA) en legde de verwerkingsgrondslag, de toegepaste techniek en de toegangscontroles vast in formele documentatie conform de AVG-vereisten. Bij een audit door de Autoriteit Persoonsgegevens kon het ziekenhuis aantonen dat het passende technische maatregelen had getroffen en dat de data-deling voldeed aan de AVG-vereisten voor wetenschappelijk onderzoek. De pseudonimiseringsoplossing bleek daarbij een belangrijke factor in het positieve auditresultaat.
Veelgestelde vragen over pseudonimisering
Wat is het verschil tussen pseudonimisering en anonimisering?
Pseudonimisering is omkeerbaar: met de koppelingsleutel kun je de data terugherleiden naar de persoon. Anonimisering is permanent en onomkeerbaar. Gepseudonimiseerde data valt nog steeds onder de AVG als persoonsgegevens, geanonimiseerde data niet meer omdat herleiding per definitie onmogelijk is.
Is pseudonimisering verplicht onder de AVG?
De AVG noemt pseudonimisering expliciet als voorbeeld van een passende technische maatregel in artikel 32. Het is niet in alle situaties verplicht, maar wordt sterk aanbevolen en kan de juridische positie van een organisatie aanzienlijk versterken bij een datalek of privacy-audit door de toezichthouder.
Valt gepseudonimiseerde data onder de AVG?
Ja, gepseudonimiseerde data blijft persoonsgegevens onder de AVG omdat herleiding tot de persoon in principe mogelijk is voor wie de koppelingsleutel bezit. Alle AVG-verplichtingen zoals grondslag, doelbinding, bewaartermijnen en rechten van betrokkenen blijven onverminderd van toepassing op de data.
Welke techniek is het veiligst voor pseudonimisering?
Tokenisatie met een beveiligde token vault biedt doorgaans de sterkste bescherming omdat de originele data centraal en versleuteld wordt opgeslagen met strikte toegangscontrole en niet kan worden afgeleid uit de tokens. De keuze hangt af van de use case, verwerkingssnelheid en de mate van herleidbaarheid die noodzakelijk is.
Kan pseudonimisering een datalek voorkomen?
Pseudonimisering voorkomt geen datalek maar beperkt de impact ervan aanzienlijk voor de betrokken personen. Als gepseudonimiseerde data lekt zonder de koppelingsleutel is de data niet direct herleidbaar tot individuen. Dit kan ertoe leiden dat het datalek niet gemeld hoeft te worden aan betrokkenen, hoewel melding aan de Autoriteit Persoonsgegevens wel verplicht kan zijn afhankelijk van de omstandigheden.
Bescherm persoonsgegevens met de juiste techniek. Vergelijk Data Masking & Anonimisering oplossingen op IBgidsNL.