4.4 Pseudonimisering
koppelen
Omdat het beschermen van persoonsgegevens zo belangrijk is, gaat u ‘pseudonimisering’ nog vaak horen. Dit is het verwerken van persoonsgegevens op zo’n manier dat de gegevens niet meer aan een specifiek persoon kunnen worden gekoppeld. Dat kan wel met aanvullende gegevens.
Koppelen aan personen
maatregelen
Daarom moeten deze aanvullende gegevens apart worden bewaard. Ook moeten organisaties technische en organisatorische maatregelen nemen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare persoon worden gekoppeld.
Als gepseudonimiseerde persoonsgegevens in combinatie met aanvullende gegevens aan personen kunnen worden gekoppeld, moet u de gepseudonimiseerde persoonsgegevens beschouwen als gegevens over een persoon. En dan is de AVG van toepassing.
Pseudonimisering en anonimisering
herleiden
Pseudonimisering is niet hetzelfde als anonimiseren: bij anonimiseren zijn de aanvullende gegevens waarmee gegevens kunnen worden herleid tot een specifiek persoon niet binnen bereik voor de verantwoordelijke of verwerker.
Volledig geanonimiseerd
werkgroep
In tegenstelling tot wat u misschien zou denken, is de AVG niet altijd van toepassing op aangepaste gegevens. Als er sprake is van volledig geanonimiseerde gegevens, geldt de AVG niet. De Artikel 29 Werkgroep (de werkgroep van de nationale privacytoezichthouders) heeft echter geoordeeld dat het anonimiseren van persoonsgegevens en het tegelijkertijd bruikbaar houden van die gegevens voor verwerkingsdoeleinden een behoorlijke opgave is.
Beveiliging van persoonsgegevens
Pseudonimisering komt ook terug bij de beveiligingsplichten voor verantwoordelijke organisaties en verwerkers. In de AVG is opgenomen dat organisaties aan de beveiliging moeten denken. Zij moeten onder andere rekening houden met de stand van de techniek, de omvang van de verwerking en het risico voor de betrokkenen. Op basis daarvan moeten de organisaties passende maatregelen nemen.
Passende maatrregelen
versleuteling
Onder passende maatregelen vallen in ieder geval:
- de pseudonimisering en versleuteling van persoonsgegevens;
- het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
- het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
- een procedure voor het op vaste tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de beveiligingsmaatregelen.