Wat zijn geanonimiseerde gegevens in de GDPR?

Analyse van geanonimiseerde gegevens onder de AVG onthult dat gegevens als geanonimiseerd worden beschouwd wanneer ze “op zodanige wijze anoniem zijn gemaakt dat de betrokkene niet of niet langer identificeerbaar is” (AVG, Overweging 26). Deze norm werd verduidelijkt door de Artikel 29-werkgroep, die benadrukte dat anonimisering onomkeerbaar moet zijn en dat “het risico op heridentificatie verwaarloosbaar klein moet zijn” (WP29 Advies 05/2014).

Belangrijkste bevindingen:

• Anonimiseringstechnieken:
  Veelvoorkomende methoden zijn aggregatie, data masking en randomisatie. Echter, echte anonimisering vereist dat geen van deze processen enige mogelijkheid tot heridentificatie openlaat, zelfs niet in combinatie met andere toegankelijke datasets (Ohm, 2010).

• Juridische status:
  Geanonimiseerde gegevens vallen buiten de definitie van persoonsgegevens en zijn daarom niet onderworpen aan de beperkingen van de AVG (AVG, Art. 4(1)).

  “Informatie die geen betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet langer identificeerbaar is” zijn geen persoonsgegevens (AVG Overweging 26).

• Praktische uitdagingen:
  Onderzoekers stellen dat absolute anonimisering zelden haalbaar is vanwege de vooruitgang in data-analyse en de toenemende beschikbaarheid van aanvullende gegevens. Narayanan en Shmatikov (2008) toonden aan dat geanonimiseerde kijkgegevens van Netflix opnieuw konden worden geïdentificeerd door ze te koppelen aan IMDb-beoordelingen.

• Risico op heridentificatie:
  Het risico neemt toe wanneer datasets rijk zijn of wanneer aanvallers over achtergrondinformatie beschikken. De AVG vereist een “redelijke waarschijnlijkheid”-test: als identificatie “redelijkerwijs waarschijnlijk” is, mogen de gegevens niet als geanonimiseerd worden beschouwd.

• Pseudonimisering vs. anonimisering:
  De AVG maakt onderscheid tussen de twee:

  • Gepseudonimiseerde gegevens kunnen nog steeds aan een persoon worden gekoppeld met aanvullende informatie.
  • Geanonimiseerde gegevens kunnen niet worden herleid, zelfs niet indirect.

Resultaten tonen aan:

• Effectieve anonimisering vereist robuuste technische en organisatorische maatregelen, inclusief doorlopende risicobeoordelingen.
• Zelfs na anonimisering, moeten verwerkingsverantwoordelijken waakzaam blijven voor nieuwe heridentificatietechnieken.
• Het verkeerd classificeren van gepseudonimiseerde of onvoldoende geanonimiseerde gegevens als “anoniem” kan leiden tot niet-naleving van de AVG.

Samenvattend, betekenen geanonimiseerde gegevens onder de AVG onomkeerbaar gede-identificeerde informatie, waarbij identificeerbaarheid niet mogelijk is met middelen die “redelijkerwijs waarschijnlijk zullen worden gebruikt”. Toch is, vanwege evoluerende dreigingen, een continue evaluatie van anonimiseringsprocessen essentieel.