fruit

citroen

fruit

peer

Feiten 3 van 10: “Het is niet altijd mogelijk om het risico van her-identificatie te verlagen onder een eerder bepaalde drempel en tegelijkertijd een betekenisvolle data set te behouden voor specifieke verwerkingen.”

Anonimiseren is een proces dat zoekt naar de juiste balans tussen het reduceren van risico op her-identificatie enerzijds, en de bruikbaarheid van datasets voor de beoogde doelbinding anderzijds. Echter zijn, afhankelijk van de context en de oorsprong van de data, de her-identificatie risico’s onvoldoende te verminderen en beheersbaar.

Een situatie kan voorvallen wanneer een totaal aantal van mogelijke individuen te smal is gedefinieerd. Zodra er categorieën in de data grote verschillen kennen tussen individuen dan is Singling Out mogelijk.

Her-identificatie en Singling Out, alleen bij gegevensmisbruik?

Her-identificatie of Singling Out gebeurt sneller dan je denkt. Er hoeft ook zeker niet altijd sprake te zijn van (bewust) misbruik van gegevens of een ongevraagde inbraak op gegevens. Het gevaar komt dus absoluut niet alleen van buitenaf!

Op basis van voorgaand genoemde smalle selectie is het bijvoorbeeld eenvoudig herkenbaar aan de hand van de koppeling van een database met vingerafdrukken, verkregen voor toegang doeleinden. Minder herkenbaar is het door combinatiemogelijkheden en / of stapeling van een groot aantal demografische attributen of locatie data.

Stapeling van gegevens uit verschillende gegevensbronnen, vanuit verschillende eigenaren en met verschillende doelbinding maakt Singling Out zo simpel dat het een aan zekerheid grenzende waarschijnlijkheid wordt. Gegevens Stapeling is veelal onzichtbaar voor de interne organisatie, het is dus cruciaal om probate maatregelen te treffen en deze periodiek ook te toetsen aan effectiviteit.

Bewust onbekwaam, Onbewust bekwaam, Onbewust onbekwaam?

Hoe je het ook wendt of keert, deze processen zijn beheersbaar te maken.

Zorg allereerst voor toestemming voor de verwerking van gegevens, geef direct duidelijkheid in het doel van de vastlegging(en). Zorg voor goed gedocumenteerde systemen en processen. Leg niet alleen de data vast in de applicaties zelf, maar ook wáár die data wordt opgeslagen. Zorg voor eigenaarschap en richt de juiste verantwoordelijkheden in. Last-but-not-least: zorg voor een werkend de-escalatie protocol wanneer er iets fout (dreigt) te gaan.

fruit

citroen

fruit

peer

Feiten 1 van 10: Pseudonimiseren is niet hetzelfde als anonimiseren.

Binnen de AVG is pseudonimiseren gedefinieerd als “het verwerken van persoonlijke data op een zodanige wijze dat persoonsgegevens niet meer gerelateerd kunnen worden aan een individu zonder het gebruik van aanvullende informatie”. “Dit onder de voorwaarde dat deze aanvullende informatie apart opgeslagen is en bovendien onderworpen is aan technische en organisatorische maatregelen waardoor verzekerd is dat persoonsgegevens niet meer gerelateerd zijn aan een geïdentificeerde of te identificeren natuurlijke persoon.” Dit betekent dat het gebruik van aanvullende informatie kan leiden tot de identificatie van individuen, reden waarom gepseudonimiseerde persoonlijke data nog altijd valt onder persoonsgegevens.

Aan de andere kant van het spectrum staan anonieme data die niet herleidbaar zijn naar specifieke individuen. Wanneer data daadwerkelijk anoniem is en personen niet langer identificeerbaar zijn, dan valt deze data niet binnen de scope van de AVG.

Is geanonimiseerde data altijd anonieme data?

Daarvoor stellen we allereerst de oorsprong vast van de data, bovendien beoordelen we een aantal fasen binnen de informatie levenscyclus: Verzamelen, Gebruiken, Verstrekken en Opslaan. Per fase ligt een aantal wegingsfactoren rond eenvoudige vragen als: Is er toestemming gevraagd en verleend? Tot aan de laatste fase van de Informatie Levenscyclus: de gegevens Verwijderen.

Onregelmatigheden in deze onderdelen zijn er vaak, veelal onbewust. Zo wordt bijvoorbeeld niet altijd toestemming gevraagd of verleend. Doorgaans gebeurt dit op basis van generieke mededelingen op een website. Daarbij wordt niet vrijgeven van de beoogde onderzoeksdoelstellingen. Gegevens worden op 4 tot 10 verschillende plekken bewaard. Dat is niet altijd bekend, evenmin is niet altijd helder waar de gegevens opgeslagen zijn en of dat veilig gebeurt. Het “verwijderen” van gegevens kan dus leiden tot latente backups.

Hoe stel ik vast of data onder de AVG valt en gebruikt mag worden?

Beter is de vraag: Wat zijn de risico’s en hoe richten we van begin tot eind een zorgvuldig proces in? Daar zijn methoden en technieken voor. Algemeen zijn er voor anonimiseren twee opties: Synthetische data generatie en Data maskering. Laatstgenoemde gebruikt functies als Shuffle, Scramble, Blank etc. Maskering draait om hergebruik van data in databases. Data generatie creëert nieuwe data die nog niet bestond. Een derde methode is een hybride aanpak: Genereer synthetische data als maskeer techniek om bestaande data te vervangen.

Anonimiseren is lastig en wordt snel lastiger door technologische ontwikkelingen. Er zijn goede voorbeelden van het verwerken van anonieme data. Een redelijk uniek succesvol voorbeeld is het Centraal Bureau voor de Statistiek (CBS). In de wet is het Centraal Bureau voor de Statistiek aangewezen als organisatie voor het produceren van statistieken voor beleid en onderzoek. CBS is maatgevend als het gaat om het toepassen van technieken voor het anonimiseren van gegevens.

Uw situatie bespreken en meer te weten komen? Maak een afspraak!

fruit

citroen

fruit

peer

Anonimiseren, AVG niet van toepassing?

De AVG spreekt niet over anonimiseren. Logisch ook, immers anonieme data bevatten geen persoonsgegevens. De AVG gaat over (verzamelen, gebruiken, verstrekken, opslaan en verwijderen van) persoonsgegevens. Anonimiseren is het bewerken van persoonsgegevens zodat deze niet meer herleidbaar zijn naar de betrokken belanghebbende natuurlijke persoon. Anonieme data is op geen enkele manier te koppelen aan een individu. Data die compleet anoniem is valt niet onder de AVG.

Anonimiseren noemt men ook wel datamasking. De methode beoogt persoonsgegevens zodanig te verwerken dat deze niet meer te gebruiken zijn om een persoon te identificeren. De oorspronkelijke data moeten hierna verwijderd, de bewerking van anonimiseren moet onomkeerbaar zijn.

Strik eromheen, niets meer aan doen?

Als we bovenstaande iets anders verwoorden, dan komen we tot data die zijn verzameld, gebruikt, opgeslagen, verstrekt en verwijderd. Alhoewel wetgeving doorgaans zorgvuldig gedefinieerd is om duidelijkheid te verschaffen, is deze zelden zo zwart wit als je zou willen. Buiten het proces van anonimiseren zelf zijn er nog meer aspecten te benoemen die als anachronisme zijn te kwalificeren. Dat laatste vooral om het beschaafd en vriendelijk te zeggen, laten we het benoemen als genuanceerd.

Een anachronisme is iets dat niet helemaal (meer) in de beschreven tijd past. Of helemaal niet meer in de tijd past. Een al dan niet gewilde inbreuk op of breuk in de chronologische samenhang van de beschreven toestanden of gebeurtenissen. Een anachronisme bestaat bijvoorbeeld uit het in een onjuiste tijd plaatsen van concepten, personen, begrippen, gebeurtenissen, voorwerpen, gebruiken, uitdrukkingen, woorden, gebruikte technologie, (wijsgerige) opvattingen, muziek, kleding, materialen, planten en dieren. Alles wat in verband staat met een bepaalde tijd (bron: Wikipedia).

Voortschrijdend inzicht?

Wie terugkijkt op enige ervaring in het werkveld van de ICT weet zonder twijfel dat een anachronisme als “voortschrijdend inzicht” door het leven gaat. Dat is een mooie bedekte term, die op een vriendelijke manier richting wil geven aan een wijzende vinger naar iets dat niet (helemaal) goed is gegaan, of (helemaal) niet goed. Onder alle omstandigheden dient men te vermijden te spreken over fout of helemaal fout, dat is taal voor de adviseurs en commissies.

Hoe je er ook naar kijkt, of het wijsheid is of besluiteloosheid, waar zekerheid over bestaat is dat omstandigheden veranderen en technologie ontwikkelt. Dat laatste gaat in een razendsnel tempo dat voor de gemiddelde burger al niet meer bij te houden is. Te verwachten dat de wetgeving daar tijdig op anticipeert is zo waar nog onmogelijker.

Wet van behoud van ellende

De AVG is dus geen behoudswet, externe factoren zijn voortdurend in de aanval om te zoeken naar mogelijkheden om data tot het uiterste in te zetten. Wie het voor de ICT heeft bedacht is onbekend, maar ik hoorde al snel na mijn veld introductie over “de wet van behoud van ellende.”

Radar Data wil deze wet, waarbij in een gesloten systeem de totale hoeveelheid ellende constant is, doorbreken. Om te beginnen met een blogreeks over misverstanden rond anonimiseren, blijft u dus vooral lezen als u hiermee te maken heeft …

Dit is blog 1 van een reeks van 11.

fruit

citroen

fruit

peer

Is het tijd voor de Autoriteit Data Management?

De Autoriteit Persoonsgegevens (AP) komt in 2016 voort uit het College Bescherming Persoonsgegevens (CPB), de opvolger van de Registratiekamer in 2001. Met de naamswijziging in 2016 kreeg de AP ook de bevoegdheid tot het opleggen van boetes. In januari van dit jaar is Algoritmetoezicht AP ook van start gegaan. Het toezicht op algoritmes stond al langer op het verlanglijstje, dus het Algoritmetoezicht was geen verrassing. (https://autoriteitpersoonsgegevens.nl/nl/nieuws/algoritmetoezicht-ap-van-start).

De rode draad is het gebruik van Persoonsgegevens en toezicht. Met de introductie van de Wet Bescherming Persoonsgegevens ook op naleving van de wetgeving.Persoonsgegevens zijn hierbij te beschouwen als alle gegevens die op welke wijze dan ook zijn te relateren aan een identificeerbare persoon, die nog in leven moet zijn.

Autoriteit Persoonsgegevens AP

Waarom is er nog geen Autoriteit Data Management?

De Wet bescherming persoonsgegevens gaat niet uit van “eigenaarschap”, maar gaat uit van het verbruik, het “verwerken”. Met dit verwerken wordt bedoeld alle handelingen, van registreren en opslaan, tot bewerken, kopiëren, wijzigen, aanvullen en wissen. Als partij A de adresbestanden van B gebruikt voor het versturen van bijvoorbeeld spam, dan valt partij A onder de regels van deze wetgeving. Ook gegevens als telefoonnummers en IP-adressen kunnen persoonsgegevens zijn, zelfs als er niets anders vastgelegd is.

U voelt het al aankomen: Waarom dan geen Autoriteit Data Management (ADM) of Governance (ADG)? De enige verklaring is dat er op dit moment nog geen expliciete wetgeving is, maar die was er voor 2016 ook nog niet, en toen hadden we al wel het CPB.

Een kwestie van tijd?

Is dan het ontbreken van een rechtstreekse link met Persoonsgegevens een valide ontsnapping? Nee, want in de definitie van “verwerken” hebben we te maken met een oneindig breed spectrum van impliciete gegevens, objecten en context.

De schier eindeloze mogelijkheden en toepassingen van data-integratie maken de oprichting en de noodzaak van de Autoriteit Data Management slechts een kwestie van tijd. Wij zijn in ieder geval helemaal voorbereid en klaar voor het gesprek. Vooruitzien is regeren toch, of is regeren vooruitzien?

fruit

citroen

fruit

peer

Recente datalekken bij NS, CZ, Vodafone en Vrienden van Amstel (artikel Telegraaf 30 maart 2023) maken bewust van het bestaan van datalekken. Talloze cyberaanvallen sinds de oorlog in Oekraïne maken de kans op een datalek groter dan ooit. De vraag is dan ook: wanneer is er sprake van een datalek, wat moet ik doen bij een datalek?

Andere vragen: komt een datalek altijd door bewuste actie van buiten en ben ik altijd verantwoordelijk voor het gegevenslek? De antwoorden op die vragen kunnen verrassend zijn. Neemt niet weg dat een datalek altijd vraagt om onmiddellijke en concrete actie. Zorg dus voor een protocol en procedure om die acties snel en betrouwbaar op te starten, met zekerheid beperk je hiermee de schade.

Wat is een datalek eigenlijk?

Van een datalek is sprake bij toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Bedrijven en overheden zijn wettelijk verplicht om een datalek direct te melden bij de Autoriteit Persoonsgegevens. Melden kan via de vragenlijst meldformulier datalekken (questionnaire personal data breach notification form).

Het bekende gegeven van een externe hack op systemen is het meest voor de hand liggende voorbeeld, maar een datalek is ook al een feit wanneer een e-mail onjuist wordt verstuurd en er in deze e-mail persoonsgegevens staan. Het kan ook minder spectaculair: een vergeten (medisch) dossier in de trein, een kwijtgeraakte USB stick, een verloren postpakket, informatie die vernietigd had moeten worden valt onverwacht uit het vernietigingsproces.

Een datalek is er sneller dan je denkt, melden is verplicht binnen 72 uur. Stel dus direct vast of er een datalek is en of het gemeld moet worden. Een stappenplan datalekken is hierbij een must. Met een checklist neem je slagvaardig de juiste stappen en beperk je de schade. Weten hoe dat er voor jouw organisatie uit ziet? Neem contact op!

fruit

citroen

fruit

peer

AVG (Nederlands) en GDPR (Engels) zijn hetzelfde en gebruiken een aantal afkortingen. Voorbeelden zijn PIA (Privacy Impact Analyse) en DPIA (Data Protection Impact Assessment), voor Analyse wordt ook Assessment gebruikt. In het Nederlands spreekt men ook wel over een Gegevensbeschermingseffectbeoordeling (GEB), vergelijkbaar met de DPIA. De termen worden vaak door elkaar heen gebruikt, maar een PIA en DPIA zijn zeker niet hetzelfde. Wat is het verschil?

Het eerste onderscheid is dat de PIA wettelijke verplicht is, daar moet dus een vastlegging van beschikbaar zijn in uw organisatie. De AVG stelt dit verplicht voor elke organisatie die persoonsgegevens verwerkt en die verwerking een hoog privacy risico met zich meebrengt (dus als die verwerking kan leiden tot een inbreuk op de bescherming van persoonsgegevens). En er is meer …

Verschil PIA en DPIA

De PIA is een proces om Privacy by Design te beschermen wanneer er nieuwe activiteiten worden ontwikkeld; dat kan bijvoorbeeld door een overname, de ontwikkeling van een nieuw product of implementatie van nieuwe processen. Een PIA start zo vroeg mogelijk voor de start, en stelt vast of en welk risico u loopt.

De DPIA is een continu proces, voortdurend toetst u of en hoe er voldaan wordt aan wet- en regelgeving.U identificeert en minimaliseert risico’s rond verwerking van persoonlijke gegevens, essentieel om compliant te zijn en blijven.

Er zijn ook overeenkomsten tussen de twee, in de basis:

Definiëren ze context bij verwerken persoonlijke gegevens;
Borgen ze instrumenten voor controle compliance;
Stellen ze eventuele privacy risico’s vast;
Valideren ze beveiligingsmaatregelen.

DPIA en PIA zijn betrekkelijk eenvoudig te organiseren. Dat hoeft niet veel tijd te kosten, het vraagt juiste kennis en toewijzing van taken en verantwoordelijkheden. Deze processen zijn vaak deels uit te besteden, een Service Level Agreement (SLA) borgt een passende Data Protection oplossing. Zo is de organisatie compliant, én degelijk voorbereid door de juiste escalatie en de-escalatie processen rond GDPR.