de keuze van de te pseudonimiseren gegevensvelden is gedeeltelijk subjectief. Minder selectieve velden, zoals geboortedatum of postcode, zijn vaak ook opgenomen omdat ze meestal uit andere bronnen beschikbaar zijn en daarom een record gemakkelijker te identificeren maken. Het pseudonimiseren van deze minder identificerende velden verwijdert het grootste deel van hun analytische waarde en gaat daarom gewoonlijk gepaard met de invoering van nieuwe afgeleide en minder identificerende formulieren, zoals geboortejaar of een grotere postcoderegio.
gegevensvelden die minder identificeerbaar zijn, zoals de aanwezigheidsdatum, worden gewoonlijk niet gepseudonimiseerd. Het is belangrijk om te beseffen dat dit komt omdat er te veel statistisch nut verloren gaat, niet omdat de gegevens niet kunnen worden geïdentificeerd. Bijvoorbeeld, gezien de voorkennis van een paar aanwezigheidsdatums is het gemakkelijk om iemands gegevens in een gepseudonimiseerde dataset te identificeren door alleen die mensen met dat datumpatroon te selecteren. Dit is een voorbeeld van een inferentieaanval.
de zwakte van pre-GDPR gepseudonimiseerde gegevens voor inferentieaanvallen wordt vaak over het hoofd gezien. Een beroemd voorbeeld is het AOL search data schandaal. Het AOL-voorbeeld van ongeoorloofde heridentificatie Vereiste Geen toegang tot afzonderlijk bewaarde “aanvullende informatie” die onder de controle van de verwerkingsverantwoordelijke stond, zoals nu vereist is voor GDPR-conforme pseudonimisering. Zie de nieuwe definitie van pseudonimisering onder GDPR hieronder.
het beschermen van statistisch bruikbare gepseudonimiseerde gegevens tegen heridentificatie vereist:
- een degelijke informatiebeveiligingsbasis
- die het risico beheerst dat analisten, onderzoekers of andere gegevenswerkers een inbreuk op de privacy veroorzaken
het pseudoniem maakt het mogelijk gegevens te traceren naar de oorsprong, wat pseudonimisering onderscheidt van anonimisering, waarbij alle persoonsgerelateerde gegevens die backtracking mogelijk kunnen maken, zijn verwijderd. Pseudonimisering is een probleem in bijvoorbeeld patiëntgerelateerde gegevens die veilig tussen klinische centra moeten worden doorgegeven.
de toepassing van pseudonimisering op e-gezondheid heeft tot doel de privacy en de vertrouwelijkheid van de gegevens van de patiënt te beschermen. Het maakt primair gebruik van medische dossiers door geautoriseerde zorgverleners en privacy behoud van secundair gebruik door onderzoekers. In de VS geeft HIPAA richtlijnen over hoe zorggegevens moeten worden verwerkt en de-identificatie of pseudonimisering van gegevens is een manier om HIPAA compliance te vereenvoudigen. Echter, gewone pseudonimisering voor privacy behoud bereikt vaak zijn grenzen wanneer genetische gegevens zijn betrokken (zie ook genetische privacy). Wegens de identificerende aard van genetische gegevens, is depersonalisatie vaak niet voldoende om de overeenkomstige persoon te verbergen. Mogelijke oplossingen zijn de combinatie van pseudonimisering met fragmentatie en encryptie.
een voorbeeld van de toepassing van een pseudonimiseringsprocedure is het creëren van datasets voor de-identificatie onderzoek door het identificeren van woorden te vervangen door woorden uit dezelfde categorie (bijvoorbeeld het vervangen van een naam door een willekeurige naam uit het names dictionary), maar in dit geval is het in het algemeen niet mogelijk om gegevens terug te traceren naar de oorsprong.
nieuwe definitie voor pseudonimisering onder GDPREdit
vanaf 25 mei 2018 definieert de EU General Data Protection Regulation (GDPR) pseudonimisering voor het eerst op EU-niveau in artikel 4, lid 5. Krachtens artikel 4, lid 5, definitievereisten worden gegevens gepseudonimiseerd indien zij niet aan een specifieke betrokkene kunnen worden toegeschreven zonder het gebruik van afzonderlijk bewaarde “aanvullende informatie.”Gepseudonimiseerde data belichaamt de stand van de techniek op het gebied van gegevensbescherming door ontwerp en standaard omdat het Bescherming vereist van zowel directe als indirecte identificatoren (niet alleen direct). AVG gegevensbescherming door ontwerp en Standaardprincipes zoals belichaamd in pseudonimisering vereisen bescherming van zowel directe als indirecte identificatoren, zodat persoonsgegevens niet kruisverwijsbaar (of herkenbaar) zijn via het “mozaïekeffect” zonder toegang tot “aanvullende informatie” die afzonderlijk wordt bewaard door de verwerkingsverantwoordelijke. Omdat toegang tot afzonderlijk bewaarde “aanvullende informatie” vereist is voor heridentificatie, kan de toewijzing van gegevens aan een specifieke betrokkene door de verwerkingsverantwoordelijke worden beperkt om uitsluitend rechtmatige doeleinden te ondersteunen.
GDPR artikel 25,lid 1, noemt pseudonimisering als een “passende technische en organisatorische maatregel”en artikel 25, lid 2, verplicht verwerkingsverantwoordelijken om:
” …passende technische en organisatorische maatregelen te nemen om ervoor te zorgen dat standaard alleen persoonsgegevens worden verwerkt die nodig zijn voor elk specifiek doel van de verwerking. Deze verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de omvang van de verwerking ervan, de opslagperiode en de toegankelijkheid ervan. Dergelijke maatregelen zorgen er met name voor dat persoonsgegevens zonder tussenkomst van de betrokkene niet voor een onbepaald aantal natuurlijke personen toegankelijk worden gemaakt.”
een centrale kern van gegevensbescherming door ontwerp en standaard onder artikel 25 van de AVG is handhaving van technologiecontroles die geschikt gebruik ondersteunen en de mogelijkheid om aan te tonen dat u in feite uw Beloften kunt nakomen. Technologieën zoals pseudonimisering die gegevensbescherming door ontwerp afdwingen en Standaard tonen individuele betrokkenen dat in aanvulling op het bedenken van nieuwe manieren om waarde te ontlenen aan gegevens, organisaties zijn het nastreven van even innovatieve technische benaderingen van de bescherming van de privacy van gegevens—een bijzonder gevoelige en actuele kwestie gezien de epidemie van inbreuken op de beveiliging van gegevens over de hele wereld.Dynamische en groeiende gebieden van economische activiteit – de “vertrouwenseconomie”, biowetenschappelijk onderzoek, gepersonaliseerde geneeskunde/onderwijs, het internet van de dingen, personalisatie van goederen en diensten—zijn gebaseerd op individuen die erop vertrouwen dat hun gegevens privé zijn, beschermd en alleen worden gebruikt voor geschikte doeleinden die hen en de samenleving een maximale waarde geven. Dit vertrouwen kan niet worden gehandhaafd met behulp van verouderde benaderingen van gegevensbescherming. Pseudonimisering, zoals nieuw gedefinieerd onder de GDPR, is een middel om te helpen bij het realiseren van gegevensbescherming door ontwerp en Standaard om vertrouwen te verdienen en te behouden en om bedrijven, onderzoekers, zorgverleners en iedereen die vertrouwt op de integriteit van gegevens effectiever te bedienen.
GDPR-conforme pseudonimisering maakt niet alleen een beter privacy-respectvol gebruik van gegevens mogelijk in de huidige “big data” – wereld van het delen en combineren van gegevens, maar het stelt gegevensbeheerders en verwerkers ook in staat om expliciete voordelen te plukken onder de GDPR voor correct gepseudonimiseerde gegevens.De voordelen van correct gepseudonimiseerde gegevens worden benadrukt in meerdere AVG-artikelen, waaronder:
- artikel 6, lid 4, als waarborg om de compatibiliteit van nieuwe gegevensverwerking te helpen waarborgen.
- artikel 25 als een technische en organisatorische maatregel om te helpen bij de handhaving van de beginselen inzake gegevensminimalisering en de naleving van de verplichtingen inzake gegevensbescherming door ontwerp en Standaard.
- artikelen 32, 33 en 34 als veiligheidsmaatregel helpen om datalekken “onwaarschijnlijk te maken dat ze leiden tot een risico voor de rechten en vrijheden van natuurlijke personen”, waardoor de aansprakelijkheid en kennisgevingsverplichtingen voor datalekken worden verminderd.
- artikel 89, lid 1, als waarborg in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden; bovendien bieden de voordelen van pseudonimisering uit hoofde van artikel 89, lid 1, ook meer flexibiliteit uit hoofde van:
- artikel 5, lid 1, onder b), met betrekking tot doelbeperking;
- artikel 5, lid 1, onder e), met betrekking tot opslagbeperking; en
- artikel 9, lid 2, onder j), met betrekking tot het opheffen van het algemene verbod op verwerking artikel 9, lid 1, bijzondere categorieën Persoonsgegevens.
- bovendien wordt in advies 06/2014 van de werkgroep van artikel 29 erkend dat correct gepseudonimiseerde gegevens “…een rol spelen bij de evaluatie van de mogelijke gevolgen van de verwerking voor de betrokkene…het saldo omgooien ten gunste van de verwerkingsverantwoordelijke” ter ondersteuning van de verwerking van legitieme belangen als rechtsgrondslag volgens Artikel 6, lid 1, onder f) van de AVG. Voordelen van de verwerking van persoonsgegevens met gepseudonimiseerd gerechtvaardigd belang als wettelijke basis onder de AVG omvatten, zonder beperking:
- volgens Artikel 17, lid 1, onder c), heeft een verwerkingsverantwoordelijke die aantoont “een dwingende legitieme reden voor verwerking te hebben”, ondersteund door technische en organisatorische maatregelen om te voldoen aan de toets van belangenafweging, een grotere flexibiliteit bij het voldoen aan verzoeken om recht op Vergeten te worden.
- krachtens artikel 18, lid 1, onder d), heeft een verwerkingsverantwoordelijke de flexibiliteit om te voldoen aan claims om de verwerking van persoonsgegevens te beperken, indien hij kan aantonen dat hij over technische en organisatorische maatregelen beschikt, zodat de rechten van de verwerkingsverantwoordelijke op passende wijze zwaarder wegen dan die van de betrokkene, omdat de rechten van de betrokkenen worden beschermd.
- krachtens artikel 20, lid 1, zijn voor de verwerking verantwoordelijken die gebruikmaken van verwerking van legitieme belangen niet onderworpen aan het recht van overdraagbaarheid, dat alleen van toepassing is op verwerking op basis van toestemming.
- op Grond van Artikel 21(1), een data-controller met behulp van het Legitieme Belang van de verwerking kunnen aantonen dat zij over voldoende technische en organisatorische maatregelen genomen zodat de rechten van de verantwoordelijke voor de verwerking correct overschrijven die van de betrokkene omdat de rechten van de betrokkenen worden beschermd; echter, betrokkenen hebben altijd het recht op grond van Artikel 21(3) niet direct marketing outreach als gevolg van een dergelijke verwerking.