Wanneer zijn gegevens anoniem genoeg?

Wanneer zijn gegevens anoniem genoeg?

De AVG is duidelijk: je mag persoonsgegevens alleen gebruiken voor het doel waarvoor je ze hebt gekregen. Dat is de theorie. De praktijk is, dat je die gegevens wel degelijk nodig hebt buiten productie, bijvoorbeeld om software mee te testen. Anonimiseren is dan een oplossing. Maar hoe zorg je dat gegevens én onherleidbaar zijn, én bruikbaar? Die vraag krijgen wij geregeld.

Een eenduidig antwoord is er niet. De wet vraagt om volledige onherleidbaarheid, dus in theorie zit je safe als je buiten productie alle gegevens vervangt door x, of alle klantnamen door Jansen. Dan zijn de privacy officer en de Autoriteit Persoonsgegevens tevreden. Maar: testers en analisten kunnen dan helemaal niets meer met die data. Je zult dus op een acceptabele manier moeten afwijken van de theorie, waarbij de privacy officer het laatste woord heeft.

Keuzes maken
Dit vraagt om weloverwogen keuzes. De kernvragen daarbij zijn: waar heb je de data voor nodig en welke data heb je daarbij per se nodig?

Een tester bijvoorbeeld is gebaat bij gegevens die op zijn minst op persoonsgegevens líjken. Want met alleen maar kruisjes kan hij niet testen of het nieuwe IT-systeem kan omgaan met exotische tekens in namen, of met onjuiste telefoonnummers. Ook vinden testers het vaak prettig om met ‘gewone’ namen en herkenbare straatnamen te werken.

Een analist, denk aan een medisch onderzoeker, heeft nog veel meer echte gegevens nodig, anders kan hij geen verbanden leggen. Als je alle voornamen door Jan vervangt, alle geboortedata door 26 mei 1932 en alle aandoeningen door roodvonk, is iedereen geanonimiseerd maar maak je geen enkele betrouwbare analyse.

Voor opleidingen kun je volstaan met gegenereerde (synthetische) data. Een andere optie is om het profiel (geslacht, leeftijd, regio) in stand te laten en overige gegevens te maskeren.

Een methode die veel wordt toegepast is het in stand houden van het patiënt- of klantnummer, waarbij de overige gegevens worden verwisseld. Het nummer is de sleutel om in productie een bepaalde patiënt of klant te kunnen terugvinden. Zolang testers, analisten, opleiders etc. geen toegang hebben tot de productieomgeving, is de privacy van personen beschermd.

Testdatamanagement
De crux is om je testdatamanagement op orde te hebben. Een helder beleid waarin je bepaalt hoever je in welke situatie afwijkt van totale anonimiteit in de richting van bruikbaarheid. Door dit beleid vast te leggen en te implementeren, toon je aan dat je er alles aan hebt gedaan wat redelijkerwijs van jou mag worden verwacht om de privacy van je klanten of patiënten te beschermen – je zorgplicht.

Er zal in dit verhaal altijd een spanningsveld zijn tussen de gebruikers en de privacy officer. De privacy officer ziet het liefst in elk veld een x, terwijl gebruikers – testers, analisten, opleiders – het liefst zo realistisch mogelijke gegevens willen hebben. De gebruikersorganisatie en de privacy officer moeten de discussie dan ook samen voeren, en beiden achter de gemaakte keuzes staan.

Technisch kan namelijk alles. Het maakt niet uit hoe de keuzes uitvallen, voor elke situatie kan een passende configuratie van de anonimiseeroplossing worden gemaakt. Zelfs na implementatie kan die nog worden aangepast, als blijkt dat iets anders beter werkt.

Onze module Datamasking voor HiX bijvoorbeeld, is een standaardconfiguratie voor ziekenhuizen die ChipSoft HiX als EPD/ZIS gebruiken. Deze oplossing anonimiseert de persoonsgegevens in HiX volgens vastgestelde regels. Deze standaardconfiguratie werkt en is goedgekeurd door diverse ziekenhuizen – zowel door de gebruikers als de privacy officers. Wil een ander ziekenhuis bepaalde regels anders, dan kan dat – als dit in goed overleg is bepaald.

Antwoord op de vraag
Dus, om antwoord te geven op de vraag ‘wanneer is het anoniem genoeg?’: strikt genomen is het alleen anoniem genoeg als je alle gegevens volledig onherleidbaar maakt.

Maar er zijn in de praktijk situaties denkbaar waarin je samen met de privacy officer kunt besluiten dat volledige onherleidbaar gemaakte gegevens leiden tot een onwerkbare situatie. In die gevallen kun je besluiten een klein weloverwogen restrisico te accepteren.

Wil je extra zekerheid? Vraag dan een (externe) auditor om je testdatamanagement te beoordelen.