Waarom ga je anonimiseren? Globaal gezien zijn er twee redenen waarom organisaties persoonsgegevens anonimiseren: Omdat ze het belangrijk vinden om de privacy van de personen waarover ze gegevens verwerken te beschermen; Om te voldoen aan de wet- en regelgeving van de Algemene Verordening Gegevensbescherming (AVG).
“Anonimiseren betekent verwisseling van persoonsgegevens in gegevens die niet langer gebruikt kunnen worden om een natuurlijk persoon te identificeren, daarbij in ogenschouw nemende 'alle middelen die hiervoor redelijkerwijs gebruikt kunnen worden' door zowel een verantwoordelijke als een derde partij.
De definities die in dit document zijn opgenomen, zijn in de AVG niet wezenlijk veranderd en dus nog steeds relevant: het essentiële verschil tussen anonimiseren en pseudonimiseren is dat anonimiseren een onomkeerbaar proces is en pseudonimiseren een omkeerbaar proces.
Anonimiseren, ook wel datamasking genoemd, is een methode waarbij persoonsgegevens zodanig worden bewerkt dat deze niet meer gebruikt kunnen worden om een persoon te identificeren. Deze bewerking is onomkeerbaar. Anonimisering kan op een aantal verschillende manieren worden gerealiseerd.
Waarom pseudonimiseren? Pseudonimiseren is een krachtige maatregel die je inzet om persoonsgegevens te beschermen. Door het pseudonimiseren van gegevens wordt het moeilijker gemaakt om de gegevens te herleiden (direct of indirect) naar een individu.
Je gegevens beveiligen
Een goede vorm van beveiliging is bijvoorbeeld een VPN, een verbinding voor veilig gebruik van openbare wifi. De gegevens die je verzendt, versleutelt VPN. De hackers kunnen je gegevens dan (helaas) nog wel onderscheppen, maar ze kunnen ze niet lezen.
De Algemene verordening gegevensbescherming (AVG) legt de verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.
Anonieme gegevens zijn gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon, of persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is.
Anonieme gegevens zijn gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. Hierbij zijn de persoonsgegevens zodanig anoniem gemaakt dat een betrokkene niet of niet meer identificeerbaar is.
Met pseudonimiseren worden persoonsgegevens getransformeerd in een dataset die niet meer direct herleidbaar is tot een persoon. Om dit te doen worden de direct identificeerbare elementen van een persoonsgegeven weggehaald, zoals de naam, of de dataset wordt omgecodeerd tot een nummer.
Gemiddeld zit iemand met zijn gegevens in honderden tot duizenden bestanden, zowel van het bedrijfsleven als van de overheid. Iedereen moet erop kunnen vertrouwen dat zijn persoonsgegevens voldoende worden beveiligd. Slechte beveiliging kan leiden tot een datalek en vervolgens tot misbruik van deze gegevens.
Het inzagerecht staat in artikel 15 van de Algemene verordening gegevensbescherming (AVG). Het houdt in dat betrokkenen het recht hebben om inzage te vragen en krijgen in alle gegevens die een organisatie over hen verwerkt.
Het recht om de persoonsgegevens die u verwerkt te laten wijzigen. Het recht op dataportabiliteit. Het recht om persoonsgegevens over te laten dragen aan een andere partij. Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare levende natuurlijke persoon. Losse gegevens die samengevoegd kunnen leiden tot de identificatie van een bepaalde persoon vormen ook persoonsgegevens.
Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd. Het is verboden om bijzondere persoonsgegevens te verwerken, tenzij er een wettelijke uitzondering is.
Met een verwerkersovereenkomst kunt u verantwoorden dat u persoonsgegevens mag verwerken en op welke manier. U kunt zich dan beroepen op de grondslag van de verwerkingsverantwoordelijke. U moet de persoonsgegevens passend beveiligen.
Zo kan bijvoorbeeld een telefoonnummer worden aangemerkt als een direct identificeerbaar gegeven. Indirect identificeerbare gegevens kunnen zijn ontdaan van de naam, doch onder omstandigheden door combinatie met andere gegevens weer worden teruggebracht tot een bepaalde persoon.
Volgens GDPR richtlijn is de definitie van persoonsgegevens alle informatie die betrekking heeft op een persoon, zoals namen, foto's, e-mailadressen, bankgegevens, posts op sociale netwerken, locatiegegevens, medische informatie en IP-adressen.
"Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een ...
Een persoonsgegeven is elk gegeven dat iets zegt over u als persoon. Dit betekent dat het direct over u gaat of tot u te herleiden is. Bijvoorbeeld uw naam, adres, telefoonnummer of e-mailadres. Ook een bedrijfsnaam die tot een individueel persoon te herleiden is, wordt gezien als een persoonsgegeven.
Ten tweede: geslacht is geen bijzonder persoonsgegeven, het zegt niets over seksueel gedrag of seksuele gerichtheid. Het is echter wel een persoonsgegeven, dus ergens moet voor de personen die je registreert duidelijk zijn welke gegevens (dus ook geslacht) worden vastgelegd en moeten die opvraagbaar zijn.
Organisaties moeten moderne techniek gebruiken om persoonsgegevens te beveiligen. Denk hierbij aan antivirus software, firewall, back-ups, veilige wachtwoorden, een beschermde online omgeving, tweefactorauthenticatie, en het versleutelen van data (encryptie).
Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf dit moment kunnen organisaties verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.
Volgens de privacywetgeving bent u verplicht om over uw privacybeleid te informeren (informatieplicht). De Autoriteit Persoonsgegevens (AP) is de toezichthouder op de privacywet. De AP adviseert dat een online privacyverklaring of privacy statement een goede manier is om aan de informatieplicht te voldoen.