Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

20/01/2022

Het belangrijke verschil tussen anonimisering en pseudonimisering

Leesduur: 4 minuten
Deel dit artikel
Anonimsering_pseudonimisering_persoonsgegevens_GDPR

Bij Sirius Legal krijgen wij regelmatig vragen rond de anonimisering van persoonsgegevens. Vaak is het verschil tussen anonimisering en pseudonimisering niet helemaal duidelijk. Daarom leggen we in dit artikel uit hoe dit precies in elkaar zit en tonen we wanneer je best voor welke optie kiest. 

Wat is anonimisering en pseudonimisering? 

Hoewel veel mensen dit door elkaar halen, is er wel degelijk een verschil tussen het anonimiseren en het pseudonimiseren van persoonsgegevens. Wanneer persoonsgegevens zodanig worden omgevormd dat het op geen enkele manier meer mogelijk is om ze te linken aan een welbepaald individu, dan zijn deze gegevens geanonimiseerd

Is het toch nog mogelijk om de gegevens te linken aan een individu aan de hand van bijkomende informatie, dan is er sprake van pseudonimisering. Hierbij krijgen persoonsgegevens een pseudoniem, of een bepaalde code, zodat de individuen niet rechtstreeks identificeerbaar zijn. Onrechtstreeks blijven ze wel identificeerbaar wanneer je er bijkomende informatie naast legt. Deze informatie of “sleutel” wordt op een andere plaats bewaard en wordt technisch en organisatorisch beschermd. 

Waarom is dit onderscheid zo relevant? 

De regels uit de GDPR zijn van toepassing op alle informatie waarmee een bepaald persoon (al dan niet rechtstreeks) geïdentificeerd kan worden. Wanneer jouw bedrijf gegevens verwerkt die gelinkt zijn aan een individu, moet je voldoen aan de verplichtingen uit de GDPR. Gepseudonimiseerde gegevens vallen hieronder, omdat ze toelaten om individuen onrechtstreeks te identificeren. Als bedrijf moet je daarom alle beschermingsmaatregelen nemen die de GDPR oplegt om gepseudonimiseerde gegevens te beveiligen. 

Geanonimiseerde gegevens integendeel, kunnen in principe nooit meer gelinkt worden aan een welbepaald individu. Dit zijn dus geen persoonsgegevens meer in de zin van de GDPR. Bijgevolg moet je de regels niet toepassen op geanonimiseerde persoonsgegevens. Let wel, er wordt steeds rekening gehouden met de huidige stand van de techniek. Het is bijvoorbeeld mogelijk dat bepaalde gegevens vandaag voldoende geanonimiseerd zijn, maar niet meer in de toekomst wanneer er nieuwe technologische ontwikkelingen bestaan die het alsnog mogelijk maken om de individuen te identificeren. 

Wanneer anonimiseer of pseudonimiseer je best persoonsgegevens?

De onderneming die verantwoordelijk is voor de verwerking van persoonsgegevens, moet volgens de GDPR het doel en de rechtsgrond van de verwerking vastleggen. Voor een onderneming kan dit bijvoorbeeld namen en e-mailadressen (persoonsgegevens) zijn om klanten te contacteren (doeleinde) op basis van een overeenkomst (rechtsgrond). Dit moet je in je privacy policy, verwerkersovereenkomst én dataregister vermelden. 

Soms wil je verzamelde persoonsgegevens naderhand gebruiken voor een ander doeleinde dan vooraf was vastgelegd, bijvoorbeeld voor het opstellen van statistieken van jouw klanten. In dat geval moet je betrokkenen daar vooraf van informeren. Wanneer je geanonimiseerde persoonsgegevens hebt, is dit niet nodig. Dan kan je de gegevens meteen gebruiken. Maar opgelet, de anonimisering van persoonsgegevens is een verwerking op zich. Je moet hier dus ook een doeleinde en een rechtsgrond voor hebben. 

Hoewel gepseudonimiseerde persoonsgegevens nog onderworpen zijn aan de GDPR, is het een nuttige maatregel voor ondernemingen om persoonsgegevens te beschermen. Het zorgt er onder meer voor dat: 

  • Je een ‘privacy by design’ strategie hanteert als je gegevens meteen bij binnenkomst pseudonimiseert,
  • Je risico’s minimaliseert wanneer je persoonsgegevens deelt met andere ondernemingen,
  • Je datalekken voorkomt wanneer de persoonsgegevens intern worden geraadpleegd, en
  • Je de risico’s op datalekken minimaliseert, wat kadert binnen een gegevensminimalisatie-strategie. 

Checklist: waar moet je rekening mee houden?

Wanneer je persoonsgegevens pseudonimiseert of anonimiseert, hou je best de volgende puntjes in het achterhoofd.  

Voor pseudonimisering: 
  • Gepseudonimiseerde persoonsgegevens blijven onderworpen aan de beschermingsmaatregelen van de GDPR. Je mag deze bijvoorbeeld niet langer bijhouden dan nodig.  
  • Hou de bijkomende informatie die nodig is om de gegevens terug te linken aan de individuen bij in een veilige (online) omgeving. 
  • Pseudonimisering is een beveiligingsmaatregel die je kan combineren met andere technische en organisatorische maatregelen. 
Voor anonimisering: 
  • De anonimisering van persoonsgegevens is een verwerking op zich, hier heb je dus ook een doeleinde en rechtsgrond voor nodig. Leg dit ook vast in het dataregister van jouw onderneming.
  • Verwijder de oorspronkelijke gegevens nadat je ze geanonimiseerd hebt. Als je ze behoudt, dan gaat het niet om anonimisering maar om pseudonimisering. 
  • Ga steeds na of het effectief niet meer mogelijk is om de geanonimiseerde gegevens te linken aan een welbepaald individu. Verwijder dus niet alleen directe identificatiegegevens, zoals de naam. Als je bijvoorbeeld de grootte van een groep personen verwerkt en slechts één iemand is 1m90, dan zal deze nog steeds identificeerbaar zijn als de naam geschrapt is. Dit is dan geen anoniem persoonsgegeven. 
  • Hou rekening met de aard van de gegevens en de bijbehorende risico’s. Hanteer striktere beveiligingsmaatregelen en verregaande anonimiseringstechnieken wanneer het bijvoorbeeld om financiële of gezondheidsgegevens gaat. Als je geanonimiseerde gegevens publiekelijk ter beschikking wilt stellen, moet je bovendien strengere maatregelen nemen dan bijvoorbeeld voor interne statistieken.

Vragen over dit artikel of over jouw databeleid onder GDPR in het algemeen?  

Contacteer ons gerust met je specifieke vraag via info@siriuslegal.be. Je kan ook een vrijblijvend kennismakingsgesprek inboeken in de agenda van Bart Van den Brande. Kortom, wij staan je graag te woord! 

Meer weten over onze GDPR aanpak en expertise?

Over de auteur

Isha
Upadhyaya

Als advocaat-stagiair bij Sirius Legal help ik ondernemingen graag verder met alle aspecten van een digitale transformatie. Na een tweetalig...


Cookies

Datacollectie op je website waarmee je juridisch volledig voldoet aan alle vereisten. Niet omdat het moet, maar ook uit respect voor de privacy van je klanten, toch?


e-Privacy

Correct omgaan met persoonsgegevens is meer dan voldoen aan de GDPR wetgeving. Daarnaast is er nog specifieke wetgeving zoals de cookiewet, het bel-me-niet-meer register, de Robinsonlijst etc. 


Internationale datatransfers

Data export is élke uitwisseling van gegevens met een partner buiten de EU. GDPR staat data export buiten de EU enkel toe als de ontvanger een gepast beschermingsniveau garandeert. 


GDPR compliance

GDPR compliance is een grote milestone in de privacywetgeving. Laat je niet afschrikken, wij staan je graag bij met to-the-point advies dat helemaal niet duur moet zijn.