Het verschil: pseudonimiseren en anonimiseren
Onder de AVG mogen persoonsgegevens niet langer onversleuteld bewaard worden. Om dit te bereiken, kunnen persoonsgegevens worden gepseudonimiseerd of geanonimiseerd. In beide gevallen zijn de data veilig, maar wel met een wezenlijk verschil.
In de Algemene Verordening Gegevensbescherming (tools), die op 25 mei 2018 van kracht wordt, staat dat organisaties ‘passende technische en organisatorische maatregelen’ moeten nemen om persoonsgegevens te beschermen. Eén manier is door de persoonsgegevens te pseudonimiseren. Hierbij past de organisatie een versleutelingsmethode toe, waardoor niet meer te zien is om wie het gaat. De ‘sleutel’ wordt verplicht op een andere plaats bewaard, wat een extra beveiligingslaag oplevert. Zo is de persoon om wie het gaat ook altijd terug te halen.
AVG: sleutel weg, dus onomkeerbaar
Geanonimiseerde persoonsgegevens zijn ook versleuteld, maar hierbij is de sleutel weggegooid. Er bestaat dus geen ‘schaduwbestand’ meer. Anonimisering is daarmee onomkeerbaar. De dataset blijft echter wel bruikbaar voor analytische of statistische doeleinden, bijvoorbeeld voor een data-analyse met programma’s Excel of R (tools).
ANONIMISEREN: persoon niet meer herleidbaar, sleutel weggegooid