Bij het anonimiseren van datasets maken organisaties regelmatig fouten. Hiervoor waarschuwt de Spaanse privacytoezichthouder AEPD in een onlangs gepubliceerd document.
Volgens de AEPD spelen anonieme gegevens een belangrijke rol bij uiteenlopende onderzoeken. Deze anonieme gegevens mogen niet te zijn herleiden naar individuele personen. In de praktijk blijkt echter dat anonimisering en pseudonimisering met elkaar worden verward.
Aanvullende informatie
Volgens de AVG is pseudonimisering het verwerken van persoonlijke data op zo’n manier dat deze persoonlijke data niet langer meer aan een specifiek datasubject is toe te schrijven zonder het gebruik van aanvullende informatie. Aanvullende informatie dient daarbij gescheiden bewaard te worden. Omdat het met deze aanvullende informatie mogelijk is om personen te identificeren, is gepseudonimiseerde persoonlijk data nog steeds persoonlijke data, aldus de Spaanse privacytoezichthouder.
Specifiek individu
Geanonimiseerde gegevens daarentegen zijn niet naar een specifiek individu te herleiden. Deze gegevens vallen niet onder de AVG. De AEPD stelt verder dat encryptie geen anonimiseringstechniek is: het is slechts een handige tool voor pseudonimisering. Verder wijst de Spaanse toezichthouder erop dat het anonimiseren van data niet altijd kan. Als voorbeelden geeft de AEPD hele kleine datasets, zeer verschillende datacategorieën en datasets met heel veel demografische attributen of locatiegegevens.
Klik hier voor het document van de AEPD.