Please select a page template in page properties.

Anonimiseren

Naast maatregelen als encryptie en pseudonimisering is het anonimiseren van datasets een mogelijke maatregel om risico’s in de omgang met (gevoelige) persoonsgegevens te verminderen. Echter, bij het volledig anonimiseren van persoonsgegevens is er geen enkele mogelijkheid meer om een uniek persoon te identificeren en daarmee zijn de gegevens geen persoonsgegevens meer. Deze gegevens vallen daarmee nu ook niet meer binnen de kaders van de AVG, die alleen handelt over persoonsgegevens.

Je ziet op de Metro-kaart dat anonimiseren als maatregel op verschillende plekken in een onderzoekstraject terugkomt. Op deze pagina lees je wanneer een dataset daadwerkelijk 'anoniem' is en waar je rekening mee dient te houden indien je een dataset wilt anonimiseren.

Dit moet je minimaal weten over anonimiseren:

  • In een volledig geanonimiseerde dataset is een uniek persoon niet meer identificeerbaar.
     
  • Als een gegeven niet een geïdentificeerde of identificeerbare persoon betreft, dan is dat gegeven geen persoonsgegeven.
     
  • De bewijslast van wanneer gegevens ‘werkelijk anoniem’ zijn is een zware last, omdat gegevens in de loop van de tijd minder anoniem kunnen worden, bijvoorbeeld door een koppeling met een nieuwe dataset.

In de spotlight


Wat is een anoniem gegeven? Waar moet je rekening mee houden bij 'anonimiseren'?

In de meeste gevallen betekent het volledig anonimiseren van persoonsgegevens een dusdanige verzwakking van de waarde van de dataset dat veel onderzoekers in overleg met de privacy officer kiezen voor alternatieve maatregelen, zodat de waarde van de dataset zoveel als mogelijk in stand blijft. In een volledig geanonimiseerde dataset is een uniek persoon niet meer identificeerbaar.

De AVG geeft in Grond 26 inzicht in hoe identificeerbaarheid gezien moet worden:

De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd.

Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen.

Als een gegeven niet een geïdentificeerde of identificeerbare persoon betreft, dan is dat gegeven geen persoonsgegeven. Omdat de AVG de verantwoorde omgang en bescherming van persoonsgegevens behelst, vallen anonieme gegevens, die niet herleidbaar zijn tot een natuurlijke persoon, dus buiten de scope van de AVG. Dit geldt dus ook voor persoonsgegevens die onomkeerbaar zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. De AVG heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.

De bewijslast van wanneer gegevens ‘werkelijk anoniem’ zijn is een zware last, omdat gegevens in de loop van de tijd minder anoniem kunnen worden. Doordat namelijk meer bronnen beschikbaar komen die, aan elkaar gekoppeld, een bredere context kunnen schetsen van een groep, kan groepsontsluiting en re-identificatie van natuurlijke personen alsnog mogelijk worden. Gegegevens kunnen nu, op dit moment anoniem zijn, maar dat is geen garantie voor de anonimiteit van diezelfde gegevens over 5 jaar.  De gezaghebbende Artikel 29-werkgroep (volledige naam 'De werkgroep voor de bescherming van personen in verband met de verwerking van persoonsgegevens') was een adviesorgaan dat bestond uit een vertegenwoordiger van de gegevensbeschermingsautoriteit van elke EU-lidstaat, de Europese Protection Supervisor en de Europese Commissie. Deze Artikel 29-werkgroep heeft in haar opinie, als nadere uitleg van de AVG, over anonimiseren de lastigheid met betrekking tot anonimiseertechnieken aangegeven:

Data controllers should consider that an anonymised dataset can still present residual risks to data subjects. Indeed, on the one hand, anonymisation and re-identification are active fields of research and new discoveries are regularly published, and on the other hand even anonymised data, like statistics, may be used to enrich existing profiles of individuals, thus creating new data protection issues. Thus, anonymisation should not be regarded as a one-off exercise and the attending risks should be reassessed regularly by data controllers.

Vandaar dat veiligheidshalve hier de algemene regel geldt dat onderzoekers bij twijfel direct contact op dienen te nemen met hun privacy officer binnen de instelling, om vervolgens gezamenlijk te bepalen of de genomen maatregelen daadwerkelijk tot anonieme gegevens hebben geleid en of daarmee de onderzoeksresultaten nog voldoende waarde bevatten. Het gaat hierbij steeds om de twee perspectieven die voor een onderzoeker gelden: aan de ene kant wil de onderzoeker een zo rijk mogelijke dataset en aan de andere kant dient de onderzoeker de verzamelde (gevoelige) persoonsgegevens zo goed als mogelijk te beschermen. Een onderzoeker kan dit mogelijk als een sterk contrast ervaren.

Voorbeeld: 'Gezichtsherkenning en anonimiseren'

Voorbeeld 'Gezichtsherkenning en anonimiseren'

Een extreem voorbeeld hierbij kan een onderzoek betreffen waarbij de onderzoeker technologie voor gezichtsherkenning gebruikt. Indien de onderzoeker deze data wil anonimiseren door bijvoorbeeld alle gezichten te ‘blurren’, is daarmee de gehele dataset irrelevant. In zo’n geval is de onderzoeker meer gebaat bij maatregelen als het beperken van de toegang tot de dataset na afloop van het onderzoek en het duidelijk opnemen van specificaties met betrekking tot deze toegang in een toestemmingsformulier (‘consent form’), zodat ook voor de betrokken deelnemers vooraf duidelijk is wie na afloop van het onderzoek bij de data kan.

Voorbeeld: Gevoelige persoonsgegevens in een medisch onderzoek

In dit voorbeeld bespreken we een onderzoek naar de werkelijke kosten van zorg wanneer patiënten aan twee of meer – vaak chronische – ziekten lijden (multimorbiditeit). In dit soort onderzoek gaat het er niet om welke persoon welke ziektebeelden heeft, maar dat een patiënt meerdere ziektebeelden heeft en bijbehorende behandelingen ondergaat. Er wordt dan gewerkt met voor de onderzoeker niet-herleidbare pseudoniemen van patiënten, bepaalde zorgprofielen, deelname aan bepaalde ketenzorgprogramma’s, gecodeerde gegevens voor bijvoorbeeld instellingen die bij de behandeling betrokken zijn en data over daadwerkelijk zorggebruik.
 

Met zo’n beschrijving van een onderzoek worden mensen vaak zenuwachtig en wordt al snel geroepen dat hier sprake is van medische gegevens en dus van bijzondere categorieën van persoonsgegevens die een verhoogd regime van bescherming vereisen. Als echter goed is nagedacht over hoe privacy al is meegenomen in het ontwerp van het onderzoek, zoals hier met niet-herleidbare (!) pseudoniemen, dan hebben we te maken met anonieme gegevens en gerelateerde gecodeerde gegevens.

Anonieme gegevens zijn geen persoonsgegevens en vallen buiten de AVG. Je wilt dus vooral goede afspraken maken om de risico’s van re-identificatie op basis van koppelingen van datasets te voorkomen. Voor dit onderzoek past het dus om ‘normale’ maatregelen in plaats te hebben voor de verwerking van gegevens.

Je zou bijvoorbeeld ook kunnen besluiten van de patiëntendata een synthetische dataset te maken, die statistisch gezien dezelfde eigenschappen heeft en dus even geschikt is voor het onderzoek, maar dus geen persoonsgegevens betreft. Dit voorbeeld laat daarmee zien dat een goede risicoanalyse voorafgaand aan het onderzoek al direct de juiste, proportionele maatregelen in kaart brengt.

Er worden dus geen Excel-bestanden met persoonsgegevens en behandelgegevens verzameld bij instellingen die betrokken zijn bij zorg van bepaalde patiënten, waarbij de onderzoeker zelf data koppelt op basis van bijvoorbeeld het BSN-nummer van de patiënt. Dat zou namelijk een voorbeeld zijn van onverantwoorde omgang met persoonsgegevens. En een onderzoeker kan, zoals we eerder zagen, niet rechtmatig het BSN verwerken.