Pseudonimiseren

 

Pseudonimiseren is een proces om persoonsgegevens te vervangen door versleutelde gegevens: het pseudoniem. Dit gebeurt op basis van een algoritme. Hierdoor kunnen we voor dezelfde input altijd hetzelfde pseudoniem bepalen en informatie over een persoon, patiënt of burger uit verschillende bronnen combineren. Pseudonimiseren is een vorm van Privacy Enhancing Technology.

 

Waarom pseudonimiseren

Wet- en regelgeving ziet pseudonimisatie als krachtige maatregel om invulling te geven aan de eis om een passend beschermingsniveau te bieden bij het verwerken van persoonsgegevens. Goede toepassing van pseudonimisatie maakt het mogelijk om de kans op ongeautoriseerde toegang tot de onderliggende persoonsgegevens sterk te reduceren. Pseudonimiseren is een voorbeeld van Privacy by Design.

Factsheet ZorgTTP Pseudonimisatie

Pseudonimiseren volgens de wet

 

In de Algemene Verordening Gegevensbescherming komen gepseudonimiseerde gegevens als volgt aan bod (Overweging 26 AVG):

Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd.”…“De gegevensbescher­mingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is.”

Van belang is dat de invoering van pseudonimiseren in de AVG niet bedoeld is om andere gegevensbeschermingsmaatregelen uit te sluiten. Sterker nog, het inzetten van pseudonimisatie in combinatie met andere maatregelen zorgt voor een brede toepassing van Privacy by design.

 

Belangrijkste kenmerken van pseudonimiseren volgens ZorgTTP

  • Pseudonimisatie is organisatorisch én technisch proces
  • Identiteit is niet te herleiden, het is een onomkeerbaar proces
  • De Trusted Third Party (TTP) voert verplicht één stap binnen proces uit
  • Data van verschillende bronnen combineren
  • Datatransport via beveiligde verbindingen

Omkeerbare en onomkeerbare Pseudonimisatie bij ZorgTTP

Privacywetgeving

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De wet stelt eisen aan het verwerken van persoonsgegevens, zoals het treffen van passende organisatorische en technische beveiligingsmaatregelen. Privacy Enhancing Technology (PET) is een verzamelnaam voor die maatregelen. Pseudonimisatie is een vorm van PET. De Autoriteit Persoonsgegevens (AP) is belast met het toezicht op naleving van de privacywetgeving en heeft in het verleden de eisen gesteld aan pseudonimisatie:

  1. Er wordt vakkundig gebruik gemaakt van pseudonimisering, waarbij de eerste pseudonimisatie plaatsvindt bij de aanbieder;
  2. Er zijn technische en organisatorische maatregelen genomen om herhaalbaarheid van de versleuteling (‘replay attack’) te voorkomen;
  3. De verwerkte gegevens zijn niet indirect identificerend;
  4. In een onafhankelijk deskundig oordeel (audit) wordt vooraf en daarna periodiek vastgesteld dat aan voorwaarden 1), 2) en 3) is voldaan;
  5. De werkwijze wordt beschreven en gepubliceerd.

Anoniem én bruikbaar De eisen waren gericht op het verkrijgen van anonieme gegevens. Inmiddels is duidelijk dat het moeilijk is om data zodanig te verwerken dat deze anoniem én bruikbaar is. Daarom is het verstandig om pseudonimisatie in te zetten in combinatie met een grondslag uit de AVG. Daarbij hoort ook het informeren van betrokkenen over het doel van de verwerking en de middelen die worden ingezet om misbruik tegen te gaan. Pseudonimisatie is daarbij een sterke beveiligingsmaatregel om ongewenste herleiding tegen te gaan.

Downloads pseudonimiseren

Vragen over pseudonimiseren? Neem contact op

12 + 2 =

Eerste applicaties ZorgTTP naar Java 11

ZorgTTP geeft op Java gebaseerde software uit. Vanaf oktober 2018 maken wij gebruik van de nieuwste versie van het Java Platform. Dat houdt in dat onze software compatible is met de in 2017 uitgebrachte Java omgeving versie 9 (of hoger). Oudere versies van Java worden...

Update applicaties ZorgTTP naar Java 9

De applicaties van ZorgTTP zijn gebaseerd op Java versie 8. Oracle heeft aangegeven dat deze versie gaat verdwijnen. De opvolgers, Java 9 en 10, zijn helaas niet backwards compatible met onze software. Daarom gaan wij onze software geschikt maken voor Java 9. Het is...

18 december update CMT- en TRES-platform

Op dinsdag 18 december 2018 vinden tussen 17.00 en 18.00 uur de maandelijkse Windows-updates op onze servers van het CMT (Centrale Module TTP) en het TRES-platform plaats. Hierdoor zijn CMT en TRES  tussen 17.00 en 18.00 uur niet bereikbaar. De voorlopige planning...