Per 25 mei 2018 persoonsgegevens versleutelen
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG)
in Nederland in werking. Als uw organisatie over persoonsgegevens beschikt, mag u deze na die datum
niet meer in alle gevallen onversleuteld bewaren. U kunt de persoonsgegeven pseudonimiseren of anonimiseren.
De verwerking van persoonsgegevens wordt per 25 mei 2018 geregeld in de AVG (tools) die de Wet bescherming persoonsgegevens (Wbp) gaat vervangen. Uw organisatie moet in sommige gevallen persoonsgegevens gaan versleutelen. Dit kan door pseudonimisering. Volgens de Europese Privacyverordening wordt verstaan onder pseudonimisering: het verwerken van persoonsgegevens op een zodanige manier dat de persoonsgegevens niet meer te herleiden zijn naar een specifieke betrokkene, zonder dat er aanvullende gegevens worden gebruikt. Organisaties die werken met persoonsgegevens moeten deze aanvullende gegevens bewaren en technische en organisatorische maatregelen nemen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon te koppelen zijn. Deze aanvullende gegevens, de ‘sleutel’, zijn dus niet weggegooid en daarom is de AVG van toepassing.
Bij anonimiseren persoonsgegevens AVG niet van toepassing
Pseudonimisering is niet hetzelfde als anonimiseren: bij anonimiseren zijn de aanvullende data waarmee gegevens terug te voeren zijn op een natuurlijk persoon niet meer voorhanden. De sleutel is weggegooid en de echte persoon is niet meer te koppelen aan de dataset. Anonimisering is dus onomkeerbaar. De AVG is niet van toepassing op geanonimiseerde gegevens: ze kunnen niet meer gebruikt worden om een natuurlijk persoon te identificeren en vallen daarmee buiten de werking van de wet.
Goede voorbereiding op invoering van de AGV is noodzakelijk
Organisaties moeten zich goed voorbereiden op de nieuwe regelgeving, want de privacyregels in de AVG zijn strenger dan in de huidige WBP en de boetes bij overtreding van de wet zijn veel hoger (tool). Organisaties die kiezen voor pseudonimisering moeten inventariseren wie er allemaal in staat zouden zijn om de versleuteling terug te draaien. Vergeet daarbij externe partijen niet. Zorg tenslotte dat er periodiek controle plaatsvindt of de gebruikte methode nog up-to-date is.