Wat maakt van een gegeven, een persoonsgegeven? De link naar een identificeerbare, natuurlijke persoon. De hele idee van de GDPR is vervolgens om de rechten en vrijheden van die personen te beschermen. Haal je dus dat persoonlijke karakter weg door die link naar de persoon te verbreken, dan verdwijnt meteen ook het privacyrisico voor die persoon.
Wat is het belang van het onderscheid?
Opdat je verplicht zou zijn om de regels van de GDPR na te leven, moeten er persoonsgegevens in het spel zijn. Wanneer gegevens geanonimiseerd zijn, spreken we niet meer van ‘persoonsgegevens’ en speelt de GDPR niet meer. Hebben we daarentegen te maken met gegevens die gepseudonimiseerd of geëncrypteerd zijn, is dat nog wel het geval.
We weten reeds dat de verwerkingsverantwoordelijke technische en organisatorische maatregelen (TOMs) moet nemen om persoonsgegevens passend te beschermen. In een vorige blog hebben we al besproken dat die gepastheid verschilt van geval tot geval en dat het de taak van de verwerkingsverantwoordelijke is om dit te beoordelen. Encryptie en pseudonimisering zijn voorbeelden van dergelijke TOMs.
Pseudonimisering
Data is gepseudonimiseerd wanneer de identificerende gegevens verwijderd of versleuteld zijn, waardoor de directe link van de data naar het individu doorbroken wordt.
Laten we dit even concreet schetsen. De identificerende gegevens (bv. naam, voornaam, persoonlijk e-mailadres) worden eigenlijk vervangen door een pseudoniem, namelijk een bepaalde cijfer- of lettercode. Enkel niet-identificerende gegevens blijven leesbaar en de identificerende gegevens zelf worden apart bewaard. Volgens dit proces worden oorspronkelijke ‘persoonsgegevens’ (die nog bestonden uit zowel identificerende als niet-identificerende data) omgezet in ‘pseudonieme gegevens’ (een dataset die enkel nog niet-identificerende data bevat). Dit gaat dan vaak opnieuw gepaard met TOMs om ervoor te zorgen dat de herleidbaarheid naar het individu verhinderd blijft, bijvoorbeeld door de apart bewaarde identificerende gegevens te encrypteren.
In tegenstelling tot wat het geval is bij anonimisering, blijft er echter nog steeds een indirecte link bestaan. Technisch gezien is het immers nog steeds mogelijk om de persoon opnieuw te identificeren (‘singling out’), maar hiertoe zal een technische tussenstap noodzakelijk zijn. Het blijft immers mogelijk om die pseudoniemen opnieuw te vertalen en bijgevolg de apart bewaarde identificerende data weer te linken met de niet-identificerende.
Encryptie
Encryptie is ook een TOM! Hierbij worden de persoonsgegevens effectief versleuteld. Dit is een zeer efficiënte manier om data te beveiligen aangezien enkel mensen die beschikken over een geheime sleutel (‘decryption key’) of wachtwoord toegang tot de gegevens krijgen.
Ook hier is de link tussen de gegevens en het individu waarop ze betrekking hebben, niet onomkeerbaar doorbroken. Zelfs al zou de persoon die de encryptie heeft toegepast de enige zijn met de geheime toegangscode, blijft die link mogelijk en speelt dus de GDPR!
Zoals we hierboven hebben aangehaald, kunnen pseudonimisering en encryptie samen worden toegepast. De voordelen van deze TOMs zijn dat het voor de betrokkenen de privacyrisico’s zal verminderen en dat het een hulpmiddel is voor zowel de verwerkingsverantwoordelijke als de verwerkers om hun verplichtingen inzake gegevensbescherming na te komen. Maar in elke concrete situatie zal je nog moeten nagaan of deze, samen dan wel alleen, voldoende bescherming bieden. Vaak zal je nog bijkomende technische en organisatorische maatregelen moeten nemen, zoals regelmatig back-ups verrichten en/of gerichte opleidingen geven aan jouw personeel.
Anonimisering
Anonimisering zorgt ervoor dat er bij de data geen enkele link meer kan worden gelegd naar het individu. De persoon wiens gegevens worden verwerkt, is niet meer identificeerbaar. Vanaf dat moment worden de data niet meer beschouwd als “persoonsgegevens” waardoor de regels van de GDPR niet meer spelen. Er bestaat immers geen privacyrisico meer voor een individu. Cruciaal om van echte anonimisering te spreken, is dat dit proces onomkeerbaar moet zijn. Data blijven voor de GDPR immers nog steeds aangemerkt als persoonsgegevens zolang er ook maar enig risico op re-identificatie (“singling out”) bestaat. In dat geval zal de GDPR dus gewoon van toepassing blijven.
Laat ons het opnieuw concreet schetsen. Bij anonimisering zullen de identificerende gegevens (bv. naam, voornaam, persoonlijk e-mailadres) volledig verwijderd worden, waardoor enkel niet-identificerende gegevens overblijven. Het zal dus niet meer mogelijk zijn om de niet-identificerende gegevens opnieuw te koppelen aan de identificerende gegevens.
Let er wel voor op dat het proces van anonimisering op zich nog onderworpen is aan de GDPR, want op dat moment verwerk je nog ‘persoonsgegevens’ om tot ‘anonieme gegevens’ te komen. Het is pas zodra de gegevens volledig geanonimiseerd zijn, dat de regels van de GDPR niet meer van toepassing zijn.
Conclusie
Als verwerkingsverantwoordelijke moet je goed communiceren met de informatici die de persoonsgegevens voor jouw onderneming beveiligen. Soms gaat men er te snel van uit dat beveiligde gegevens geanonimiseerd zijn, terwijl ze in feite gepseudonimiseerd of geëncrypteerd zijn.
Zoals uitgelegd is dat onderscheid wel degelijk belangrijk, want het maakt het verschil uit of de GDPR regels van toepassing zijn of niet.
Wil je hier meer informatie over, of wens je begeleiding bij het opzetten van je technische en organisatorische maatregelen, dan kan je ons zoals steeds bereiken via hallo@dejuristen.be.
Geschreven door Larissa De Keyser, Trainee deJuristen, en Kris Seyen, Partner deJuristen