Organisaties worstelen al lange tijd met het verschil tussen het anonimiseren en pseudonimiseren van persoonsgegevens. Met name om te kunnen bepalen welk wettelijk kader van toepassing is. Als sprake is van geanonimiseerde gegevens is de AVG niet van toepassing, is de gedachte. Anonimiseren of pseudonimiseren is echter geen doel op zich, maar een beveiligingsmaatregel en komt tegemoet aan het privacy principe “dataminimalisatie”. Buitendien is ‘anoniem’ geen statisch gegeven en is en blijft de mogelijkheid om te kunnen herleiden afhankelijk van de context (zowel nu als in de toekomst).
In deze blog is het verschil tussen ‘anonimiseren en pseudonimiseren’ uiteengezet, zowel qua wet- en regelgeving maar ook vanuit het achterliggende technische oogpunt. Het is belangrijk om deze twee werelden te (blijven) verbinden.
Art. 4 lid 5 AVG verstaat onder “pseudonimisering”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.
Onder “geanonimiseerde gegevens” kan worden verstaan: gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is.
Uit bovenstaande definities kan worden afgeleid dat het verschil tussen anonimiseren en pseudonimiseren afhankelijk is van het bestaan van ‘aanvullende gegevens’. Zolang er aanvullende gegevens zijn en deze apart worden bewaard spreekt men van gepseudonimiseerde gegevens. De Autoriteit Persoonsgegevens heeft in haar onderzoek naar SBG inzake de ROM-gegevens in 2019 gesteld dat met ‘ieder bestaan’ van aanvullende gegevens er geen sprake kan zijn van geanonimiseerde gegevens en dus altijd sprake zal zijn van gepseudonimiseerde gegevens. Dit wordt ook wel het objectieve criterium van pseudonimisering genoemd. Het Hof van Justitie van de EU nam in de zaak Breyer een minder strikt standpunt in. Daar werd gesteld dat als de sleutel naar de aanvullende gegevens op geen enkele wijze toegankelijk is voor de gebruiker, dat de gegevens als geanonimiseerd kunnen worden beschouwd. De ICO (Data Commissioners van de UK) sluiten aan bij het zogenaamde ‘relatieve criterium’, door in hun handreiking een TTP-arrangement te benoemen. Een TTP is een ‘Trusted Third Party’ die namens verantwoordelijken (van de bronbestanden) de gegevens kan versleutelen en de sleutel ofwel kan beheren, dan wel gebruik maakt van een onomkeerbare pseudonimisering. In dat laatste geval kan de TTP zelf de gegevens ook niet meer terug herleiden.