Feiten 3 van 10: “Het is niet altijd mogelijk om het risico van her-identificatie te verlagen onder een eerder bepaalde drempel en tegelijkertijd een betekenisvolle data set te behouden voor specifieke verwerkingen.”
Anonimiseren is een proces dat zoekt naar de juiste balans tussen het reduceren van risico op her-identificatie enerzijds, en de bruikbaarheid van datasets voor de beoogde doelbinding anderzijds. Echter zijn, afhankelijk van de context en de oorsprong van de data, de her-identificatie risico’s onvoldoende te verminderen en beheersbaar.
Een situatie kan voorvallen wanneer een totaal aantal van mogelijke individuen te smal is gedefinieerd. Zodra er categorieën in de data grote verschillen kennen tussen individuen dan is Singling Out mogelijk.
Her-identificatie en Singling Out, alleen bij gegevensmisbruik?
Her-identificatie of Singling Out gebeurt sneller dan je denkt. Er hoeft ook zeker niet altijd sprake te zijn van (bewust) misbruik van gegevens of een ongevraagde inbraak op gegevens. Het gevaar komt dus absoluut niet alleen van buitenaf!
Op basis van voorgaand genoemde smalle selectie is het bijvoorbeeld eenvoudig herkenbaar aan de hand van de koppeling van een database met vingerafdrukken, verkregen voor toegang doeleinden. Minder herkenbaar is het door combinatiemogelijkheden en / of stapeling van een groot aantal demografische attributen of locatie data.
Stapeling van gegevens uit verschillende gegevensbronnen, vanuit verschillende eigenaren en met verschillende doelbinding maakt Singling Out zo simpel dat het een aan zekerheid grenzende waarschijnlijkheid wordt. Gegevens Stapeling is veelal onzichtbaar voor de interne organisatie, het is dus cruciaal om probate maatregelen te treffen en deze periodiek ook te toetsen aan effectiviteit.
Bewust onbekwaam, Onbewust bekwaam, Onbewust onbekwaam?
Hoe je het ook wendt of keert, deze processen zijn beheersbaar te maken.
Zorg allereerst voor toestemming voor de verwerking van gegevens, geef direct duidelijkheid in het doel van de vastlegging(en). Zorg voor goed gedocumenteerde systemen en processen. Leg niet alleen de data vast in de applicaties zelf, maar ook wáár die data wordt opgeslagen. Zorg voor eigenaarschap en richt de juiste verantwoordelijkheden in. Last-but-not-least: zorg voor een werkend de-escalatie protocol wanneer er iets fout (dreigt) te gaan.