Pseudonimiseren

Pseudonimiseren is een procedure waarmee identificerende gegevens met een bepaald algoritme worden vervangen door versleutelde gegevens (het pseudoniem). Het algoritme kan voor een persoon altijd hetzelfde pseudoniem berekenen, waardoor informatie over de persoon, ook uit verschillende bronnen, kan worden gecombineerd. Daarin onderscheidt pseudonimiseren zich van anonimiseren, waarbij het koppelen op persoon van informatie uit verschillende bronnen niet mogelijk is.[1] Pseudonimiseren is een techniek van informatiebeveiliging, meer specifiek: een 'privacy enhancing technique'.

Gebruik

Pseudonimisering van gegevens wordt geregeld toegepast bij onder meer sociaalwetenschappelijk en medisch onderzoek. Het doel is het verwerken van gegevens, zonder dat herleidbaar is van wie deze gegevens afkomstig zijn.

Pseudonimiseren kan omkeerbaar of onomkeerbaar worden gedaan. Voor statistisch en historisch gebruik is het opheffen van anonimiteit doorgaans niet nodig, en is dit dan ook technisch uitgesloten (onomkeerbaar). Bij omkeerbaar pseudonimiseren bestaat wel de mogelijkheid om terug te gaan naar een persoon met relevante bevindingen. Dit kan zinvol zijn om aan aanvullende gegevens te komen over een persoon, of om iemand te waarschuwen wanneer er medische risico's blijken te zijn. Omkering is aan strenge technische en organisatorische eisen gebonden en vereist toestemming van meerdere partijen.

Situatie Wet Bescherming Persoonsgegevens (Wbp)

In 2007 is door het toenmalige College bescherming persoonsgegevens (CBP) bevestigd,[2] dat bij toepassing van pseudonimisering door zorgverzekeraars, er "geen sprake was van verwerking van persoonsgegevens, mits aan vier strikte voorwaarden is voldaan." Deze voorwaarden betroffen het vakkundig gebruik van pseudonimisering, maatregelen om herhaalbaarheid van de versleuteling te voorkomen, gegevens mochten niet indirect identificeerbaar zijn en ten slotte het instellen van periodieke audits. Daarnaast stelde het CBP dat "de pseudonimiseringsoplossing op heldere en volledige wijze beschreven diende te worden in een actief openbaar gemaakt document, zodat iedere betrokkene kan nagaan welke garanties de gekozen oplossing biedt".

Ruim een jaar eerder, in januari 2006, gaf het CBP advies aan het ministerie van VWS over pseudonimisering van medische persoonsgegevens in het DBC Informatiesysteem (DIS). Ook hier al noemt het CBP deze vier voorwaarden en verwijst in haar brief bovendien naar de notitie "Beschrijving gebruik pseudo-identiteiten binnen het Diagnose Behandel Combinatie Informatiesysteem", opgesteld door de Stichting Informatievoorziening Zorg in 2005.[3] Deze notitie wordt ook aangehaald in de toelichting bij de 'Wijziging Regeling zorgverzekering in verband met diverse aangelegenheden' uit december 2006.[4]

Situatie Algemene verordening gegevensbescherming (AVG)

Met de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG) in mei 2016, heeft de rijksoverheid een 'Handreiking pseudonimisering'[5] beschikbaar gesteld, waarin instructies worden gegeven voor de pseudonimisering van persoonsgegevens.

Direct en indirect identificerend

Bij pseudonimiseren wordt onderscheid gemaakt tussen direct en indirect identificerende gegevens. Dit onderscheid is niet expliciet in de Wet bescherming persoonsgegevens maar wordt met goedkeuring van het CBP wel gemaakt in de 'Gedragscode voor gebruik van persoonsgegevens in wetenschappelijk onderzoek'. Een direct identificerend gegeven is bijvoorbeeld een burgerservicenummer waarmee een persoon uniek wordt aangeduid. Indirect identificerend kunnen bijvoorbeeld een postcode en een geboortedatum zijn. Met beide gegevens in onderlinge combinatie is vrijwel altijd wel duidelijk om wie het gaat.

Er bestaan statische methoden om, ook in het laatste voorbeeld, gegevens voldoende niet identificerend te maken. Zo kan men de letters weglaten van de postcode en/of de geboortemaand of het geboortejaar nemen in plaats van de datum. Dit proces heet generaliseren; omdat oorspronkelijke gegevens (deels) zichtbaar blijven, is het verschillend van pseudonimiseren. Voor veel onderzoek maakt een dergelijke vergroving niet uit, wel wordt daarmee het patiëntgegeven niet identificeerbaar gemaakt. Pseudonimiseren en generaliseren worden vaak in combinatie gebruikt.

Uitvoering

Voor het uitvoeren van de vertaalslag naar een versleuteld gegeven bestaan 'vertrouwde derde partijen' Voor de manier waarop zij die vertaalslag moet uitvoeren bestaan vuistregels in de praktijk. Zo mag de vertrouwde derde partij de persoonsgegevens alleen 'on the fly' verwerken, zonder deze op te slaan. Het CBP stelt formele eisen aan de werkwijze:[6] vakkundigheid, maatregelen tegen herhaalbaarheid en indirecte herleidbaarheid, en externe audits.

De werkwijze is verkort als volgt. De bron van de gegevens (bijvoorbeeld een zorgverlener, school of ondernemer) mag beperkt beschikken over gepersonaliseerde gegevens (Wbp art. 8b of 8c). De persoonskenmerken worden onleesbaar gemaakt met een cryptografische hashfunctie en de inhoudelijke gegevens met versleuteling, waarna deze gegevens worden verstuurd naar een vertrouwde derde partij (trusted third party). Deze TTP onderwerpt de persoonskenmerken opnieuw aan een hashfunctie en versleutelt het resultaat tot het pseudoniem, waarna alle gegevens worden doorgestuurd naar het doel, een centrale registratie. Bij het doel worden de inhoudelijke gegevens ontsleuteld en opgeslagen met het pseudoniem. Wanneer een persoon bij verschillende bronnen bekend is, wordt hetzelfde pseudoniem berekend zodat gegevens worden gecombineerd bij de bron. Door toepassing van de hashfunctie is het niet mogelijk, de persoon te identificeren.

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.