Gebruikers en leveranciers van pseudonimisatiediensten hebben hun krachten gebundeld. Samen hebben zij een set eisen opgesteld waaraan pseudonomisatiediensten en -dienstverleners zouden moeten voldoen. Deze eisen zijn vastgelegd in een nieuwe NEN-norm, namelijk het Ontwerp NEN 7524 (hierna: de NEN-norm). De reden voor de ontwikkeling van de NEN-norm is de behoefte aan kwaliteitseisen voor pseudonimisering in de praktijk. Die behoefte bestaat met name in de zorgsector.
In deze blog wordt besproken wat pseudonimisering is en waarom er in de praktijk behoefte bestaat aan normering van pseudonimsatiediensten. Ook worden kort de doelstellingen van de NEN-norm besproken.
Wanneer persoonsgegevens worden verwerkt, moeten deze worden beveiligd. Pseudonimisering is een van de beveiligingsmaatregelen die in dit kader door de Algemene Verordening Gegevensbescherming (AVG) worden genoemd.
Pseudonimisering moet worden onderscheiden van anonimisering. In tegenstelling tot gepseudonimiseerde persoonsgegevens, kwalificeren geanonimiseerde persoonsgegevens namelijk niet langer als persoonsgegevens in de zin van de AVG.
De AVG is alleen van toepassing op persoonsgegevens. Dit zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon (de Betrokkene). (1) Op het moment dat persoonsgegevens zodanig zijn geanonimiseerd dat de Betrokkene niet langer identificeerbaar is, is er dus geen sprake meer van persoonsgegevens en is de AVG niet meer van toepassing. (2) Van anonimisering is slechts sprake indien de anonimisering onomkeerbaar is. De koppeling van de gegevens aan de Betrokkene moet dus definitief onmogelijk worden.
Wanneer de koppeling op enig moment weer kan worden gemaakt, blijft de AVG van toepassing. Dit is het geval bij pseudonimisering. De koppeling van de gegevens aan de Betrokkene wordt door pseudonimisering namelijk niet (definitief) onmogelijk gemaakt. Pseudonimisering is een omkeerbaar proces, waardoor altijd sprake blijft van persoonsgegevens in de zin van de AVG.
Volgens artikel 4, sub 5 van de AVG heeft pseudonimisering tot gevolg dat de persoonsgegevens zonder het gebruik van aanvullende gegevens niet langer aan de Betrokkene kunnen worden gekoppeld. Er is dus sprake van een vorm van ‘versleuteling’ of ‘codering’. Van pseudonimisering in de zin van de AVG is pas sprake indien (i) de aanvullende gegevens apart van de gepseudonimiseerde gegevens worden bewaard én (ii) technische en organisatorische maatregelen worden genomen die voorkomen dat de persoonsgegevens aan de Betrokkene worden gekoppeld. (3)
Pseudonimisering gaat dus altijd gepaard met aanvullende technische en organisatorische beveiligingsmaatregelen die voorkomen dat (door onbevoegden) de koppeling kan worden gemaakt tussen de gepseudonimiseerde gegevens en (het bestand met) de aanvullende gegevens. (4) De AVG schrijft niet voor welke (beveiligings)maatregelen voor dit doel geschikt zijn en biedt in die zin dus geen concrete handvatten voor pseudonimisering in de praktijk.
Verwerkingsverantwoordelijken schakelen in de praktijk vaak een onafhankelijke derde in om aan de hiervoor besproken voorwaarden voor pseudonimisering te kunnen voldoen. Met name in de zorgsector worden dergelijke derde partijen, ook wel ‘trusted third parties’, regelmatig ingeschakeld. Een voorbeeld hiervan is de rol van trusted third parties bij wetenschappelijk onderzoek met gezondheidsgegevens van patiënten. Om dergelijk onderzoek te kunnen uitvoeren, is het voor de onderzoeker niet nodig om de identiteit van de patiënt te kennen. Er bestaat daarom geen grondslag om naast de gezondheidsgegevens ook de identiteit van de patiënt aan de onderzoeker te verstrekken. Een trusted third party wordt in deze gevallen ingeschakeld om de gezondheidsgegevens van patiënten op gepseudonimiseerde wijze aan de onderzoeker beschikbaar te stellen.
De verwerkingsverantwoordelijke blijft echter zelf verantwoordelijk voor het verwerken en beveiligen van de persoonsgegevens. Om die reden is het voor de verwerkingsverantwoordelijke van wezenlijk belang dat de door haar ingeschakelde trusted third party de pseudonimisatiedienst(en) in overeenstemming met de AVG uitvoert.
Het voorwoord van de NEN-norm bevestigt de behoefte van de praktijk aan normering van pseudonimisatiediensten. De NEN-norm benadrukt in het bijzonder het belang van waarborging van de kwaliteit van de dienstverlening bij de overstap van de ene naar de andere trusted third party (bijvoorbeeld gedurende het langdurig ter beschikking stellen van gezondheidsgegevens ten behoeve van langlopend wetenschappelijk onderzoek). Voor verwerkingsverantwoordelijken zal de NEN-norm ook in meer algemene zin van toegevoegde waarde zijn door hen inzicht te verschaffen in de mogelijkheden en beperkingen van pseudonimisatiediensten.
De NEN-norm biedt handvatten om de kwaliteit van de pseudonimisatiediensten te kunnen waarborgen en toetsen. Meer concreet formuleert de NEN-norm (i) eisen waaraan dienstverleners moeten voldoen, (ii) richtlijnen voor consumenten (de verwerkingsverantwoordelijken) en (iii) een kader voor de benodigde technische en organisatorische beveiligingsmaatregelen.
De website van NEN vermeldt dat de NEN-norm specifiek tot doel heeft om:
de privacy van patiënten te waarborgen/respecteren;
beschikbaarheid van gegevens voor langere tijd veilig te stellen;
transparantie en betrouwbaarheid van pseudonimisatiediensten te verbeteren; en,
de overstap naar een andere dienstverlener mogelijk te maken.
Het normontwerp ligt tot 25 mei 2019 ter inzage. Gedurende de inzageperiode kunnen reacties en/of commentaar op het ontwerp worden ingezonden. Meer informatie hierover vindt u op de website van het NEN. (5)
Mocht u naar aanleiding van deze blog vragen hebben over pseudonimisering of de beveiliging van persoonsgegevens in bredere zin, dan kunt u natuurlijk altijd contact opnemen met ons Data protection and privacy team.
(1) Artikel 4, sub 1 van de AVG.
(2) Zie ook Overweging 26 bij de AVG.
(3) Tweede volzin van artikel 4, sub 5 van de AVG.
(4) Relevant is nog de vermelding van de Autoriteit Persoonsgegevens op haar website dat voor de beoordeling of een koppeling van de persoonsgegevens aan de Betrokkene mogelijk is, ook rekening moet worden gehouden met externe bronnen. Hierbij kan worden gedacht aan de Kamer van Koophandel, het Kadaster, Social Media en openbare videobeelden. De AP noemt als voorbeeld het geval waarbij de gepseudonimiseerde gegevens een locatie, datum en tijd bevatten. In dat geval zou een (ongeoorloofde) koppeling mogelijk zijn aan de hand van openbare camerabeelden of pintransacties.
(5) Link naar de relevante pagina op de website van het NEN: https://www.nen.nl/NEN-Shop/Nieuwsberichten-Zorg-Welzijn/Norm-voor-pseudonimisatiedienstverlening-voor-commentaar-gepubliceerd.htm.
Dit artikel is ook te vinden in het dossier AVG.
Meer artikelen van Loyens & Loeff
