Pseudonimiseren

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

Pseudonimiseren is een procedure waarmee identificerende gegevens met een bepaald algoritme worden vervangen door versleutelde gegevens (het pseudoniem). Het algoritme kan voor een persoon altijd hetzelfde pseudoniem berekenen, waardoor informatie over de persoon, ook uit verschillende bronnen, kan worden gecombineerd. Daarin onderscheidt pseudonimiseren zich van anonimiseren, waarbij het koppelen op persoon van informatie uit verschillende bronnen niet mogelijk is[1]. Pseudonimiseren is een techniek van informatiebeveiliging, meer specifiek: een 'privacy enhancing technique'.

Gebruik[bewerken]

Pseudonimiseren wordt geregeld gebruikt voor sociaalwetenschappelijk onderzoek en in de medische sector. Het doel is verwerken van gegevens voor wetenschappelijk - statische doeleinden zonder dat herkenbaar is van wie deze gegevens afkomstig zijn. Het gegeven is daardoor niet op de 'persoon herleidbaar' en daarmee geen persoonsgegeven in de zin van de Wet bescherming persoonsgegevens (WBP). Dit is bevestigd door het CBP[2]. In de medische sector is het Parelsnoer project, een samenwerking tussen universiteiten, een voorbeeld van een dergelijke toepassing.

Pseudonimiseren kan omkeerbaar of onomkeerbaar worden gedaan. Voor statistisch en historisch gebruik is het opheffen van anonimiteit doorgaans niet nodig, en is dit dan ook technisch uitgesloten (onomkeerbaar). Bij omkeerbaar pseudonimiseren bestaat wel de mogelijkheid om terug te gaan naar een persoon met relevante bevindingen. Dit kan zinvol zijn om aan aanvullende gegevens te komen over een persoon, of om iemand te waarschuwen wanneer er medische risico's blijken te zijn. Omkering is aan strenge technische en organisatorische eisen gebonden en vereist toestemming van meerdere partijen.

Direct en indirect identificerend[bewerken]

Bij pseudonimiseren wordt onderscheid gemaakt tussen direct en indirect identificerende gegevens. Dit onderscheid is niet expliciet in de Wet bescherming persoonsgegevens maar wordt met goedkeuring van het College Bescherming Persoonsgegevens wel gemaakt in de 'Gedragscode voor gebruik van persoonsgegevens in wetenschappelijk onderzoek'. Een direct identificerend gegeven is bijvoorbeeld een burgerservicenummer waarmee een persoon uniek wordt aangeduid. Indirect identificerend kunnen bijvoorbeeld een postcode en een geboortedatum zijn. Met beide gegevens in onderlinge combinatie is vrijwel altijd wel duidelijk om wie het gaat.

Er bestaan statische methoden om, ook in het laatste voorbeeld, gegevens voldoende niet identificerend te maken. Zo kan men de letters weglaten van de postcode en/of de geboortemaand of het geboortejaar nemen in plaats van de datum. Dit proces heet generaliseren; omdat oorspronkelijke gegevens (deels) zichtbaar blijven, is het verschillend van pseudonimiseren. Voor veel onderzoek maakt een dergelijke vergroving niet uit, wel wordt daarmee het patiëntgegeven niet identificeerbaar gemaakt. Pseudonimiseren en generaliseren worden vaak in combinatie gebruikt.

Uitvoering[bewerken]

Voor het uitvoeren van de vertaalslag naar een versleuteld gegeven bestaan 'trusted third parties'; bijvoorbeeld ZorgTTP (in Nederland) en Custodix (in België). Voor de manier waarop zij die vertaalslag moet uitvoeren bestaan vuistregels in de praktijk. Zo mag de trusted third party de persoonsgegevens alleen 'on the fly' verwerken, zonder deze op te slaan. Het CBP stelt formele eisen aan de werkwijze[3]: vakkundigheid, maatregelen tegen herhaalbaarheid en indirecte herleidbaarheid, en externe audits.

De werkwijze is verkort als volgt. De bron van de gegevens (bv. een zorgverlener, school of ondernemer) mag beperkt beschikken over gepersonaliseerde gegevens (WBP art 8b of 8c). De persoonskenmerken worden onleesbaar gemaakt met een cryptografische hashfunctie en de inhoudelijke gegevens met versleuteling, waarna deze gegevens worden verstuurd naar een trusted third party. De TTP onderwerpt de persoonskenmerken opnieuw aan een hashfunctie en versleutelt het resultaat tot het pseudoniem, waarna alle gegevens worden doorgestuurd naar het doel, een centrale registratie. Bij het doel worden de inhoudelijke gegevens ontsleuteld en opgeslagen met het pseudoniem. Wanneer een persoon bij verschillende bronnen bekend is, wordt hetzelfde pseudoniem berekend zodat gegevens worden gecombineerd bij de bron. Door toepassing van de hashfunctie is het niet mogelijk, de persoon te identificeren.

Externe links[bewerken]