Pseudonimisering

Waar het anonimiseren van een gehele database, een goede AVG maatregel is voor kopieën van persoonsgegevens, zou ook overwogen moeten worden om direct aanwezige persoonsgegevens te maskeren. Dit kan middels pseudonimisering. Het pseudonimiseren van persoonsgegevens, houdt in dat data versleuteld op een omgeving staan, waarbij dezelfde sleutel elders is opgeslagen. 

Binnen de IT wereld heeft dit proces encrypting ofwel versleuteling van gegevens. Encrypting heeft als tegenhanger, decrypting, wat gewoonweg inhoudt dat reeds versleutelde gegevens terug kunnen worden versleuteld. Bij decrypting wordt de omgekeerde weg bewandeld, waarbij de sleutel dus benodigd is. De sleutel ligt binnen applicaties/platformen veelal op software niveau, waar de data op database niveau aanwezig is.

Pseudonimisering volgens AVG wetgeving

De Nederlandse privacy toezichthouder (Autoriteit Persoonsgegevens) zegt het volgende over pseudonimisering:

  • Gegevens kunnen niet meer worden gekoppeld zonder b.v. encryptie sleutel;
  • De data een encryptie sleutel worden apart bewaard;
  • Pseudonimiseren is een technische beveiligingsmaatregel;
  • De rechten van betrokkenen zijn bij gepseudonimiseerde data niet van toepassing.

Let wel: in tegenstelling tot het geanonimiseerde persoonsgegevens, is bij gepseudonimiseerde persoonsgegevens de AVG wetgeving nog wel van toepassing.

AVG persoonsgegevens Technische maatregelen

Pseudonimisering in praktijk

De kans op een volledige lek, waarbij gegevens gekoppeld kunnen worden, wordt middels pseudonimisering ook reeds ingeperkt. In praktijk kunnen beide maatregelen echter gelijktijdig worden ingezet, om AVG Compliant te zijn en verdere reputatieschade bij, of boetes naar aanleiding van datalekken in te perken.

Binnen oplossingen en opdrachten naar onze technische afdelingen, pseudonimiseren we de meer gevoelige persoonsgegevens. Denk aan noodcontact data of BSN. Hierbij kan het lastige situaties opleveren wanneer gegevens op straat komen, als ook nodige impact hebben op gevolgacties (denk aan berichtgeving naar betrokkenen of media). Dit kan met pseudonimisering als technische beveiligingsmaatregel voorkomen worden.

Contact opnemen