Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
dslc_downloads
events_agenda
klanten
dslc_projects
vacature
Headersimage blogserie pseudonimiseren_blog5_conclusie

Pseudonimiseren – de conclusie

  • 22 december 2020

We hebben de afgelopen weken verschillende blogs over pseudonimiseren gepubliceerd. De eerste blog ging over het hoe van pseudonomiseren. Vervolgens deelden we waarom je het gebruikt, wat erbij komt kijken wanneer je zelf gaat pseudonimiseren en welke uitdagingen er worden weggenomen wanneer je pseudonimiseren uitbesteedt aan een Trusted Third Party (TTP). In deze afsluitende blog zetten we alle bevindingen nog een keer voor je op een rijtje en sluiten we af met een conclusie en een advies.

Het wat & hoe van pseudonimiseren

Pseudonimiseren is een krachtige maatregel die je inzet om persoonsgegevens te beschermen. Je voorkomt hiermee dat iemands identiteit bekend wordt bij personen die dit niet hoeven of mogen weten. Je vervangt daarvoor persoonskenmerken door een minder zeggende, maar unieke, code waardoor het niet meer mogelijk is de persoon direct te herleiden. Je kunt dan nog wel de gegevens verreiken met andere bronnen die op dezelfde manier zijn gepseudonimiseerd.

Uitdagingen bij zelf pseudonimiseren

Je kunt pseudonimiseren zelf verzorgen. Maar dan zijn er wel een aantal uitdagingen waar je mee te maken krijgt. Dit zijn, in het kort:

  • Wanneer doe je het goed? Daarvan is geen vaste definitie.
  • De drie richtlijnen voor pseudonimiseren (zo vroeg mogelijk, zo veilig mogelijk, zo efficiënt mogelijk) staan regelmatig met elkaar op gespannen voet.
  • De best practice, pseudonimiseren in 2 stappen, vraagt veel van je organisatie qua kennis en resources.
  • Bij gebruik van gegevens van andere partijen, moet je dat met elke partij contractueel vastleggen.

Voor en tegens van uitbesteden aan een TTP

Je kunt pseudonimiseren ook uitbesteden aan een Trusted Third Party (TTP). Deze gespecialiseerde en gecertificeerde partijen zorgen voor gegarandeerde veiligheid en je hoeft niet zelf alle benodigde technische en organisatorische maatregelen te nemen. Opschalen is eenvoudig, de TTP is ‘auditable’ en het is een onafhankelijke partij, belangrijk wanneer je samenwerkt met meerdere organisaties met verschillende belangen. Er worden dus veel van de uitdagingen van pseudonimiseren weggenomen.

Toch zijn er ook een aantal zaken waar je rekening mee moet houden wanneer je pseudonimiseren uitbesteedt aan een TTP. Er worden door een TTP kosten in rekening gebracht voor het benodigde vooronderzoek en voor alles rondom de benodigde software. Daarnaast word je afhankelijk van de TTP die je in de arm neemt omdat overstappen verlies van geschiedenis betekent. Bovendien moeten er contractuele en juridische afspraken met de TTP gemaakt moeten worden, zoals bijvoorbeeld een verwerkersovereenkomst (VWO).

Er zijn ook een aantal zaken die je nog steeds zelf moet regelen, zoals toegang voor de TTP tot de betreffende gegevens, inregelen van de datastroom naar de TTP en het installeren van een stuk software. Als laatste, uitbesteden van pseudonimiseren aan een TTP verschoont je niet van het verzorgen van gegevensbescherming en het creëren van bewustzijn bij je medewerkers van de noodzaak van privacy en security.

Conclusie & advies

Nu we alle zaken rondom pseudonimiseren op een rijtje hebben gezet, kunnen we concluderen dat er eigenlijk geen eenduidige conclusie is. De belangrijkste reden hiervoor is dat ieder bedrijf en ook iedere situatie uniek is.

Wat we je wel kunnen geven, is een advies gebaseerd op een checklist. De volgende afwegingen helpen je bij het maken van een passende keuze.

  1. Zijn er binnen jouw organisatie al richtlijnen en standpunten op het gebied van beveiliging van persoonsgegevens?
    Dan zijn die leidend bij de keuzes die je maakt rondom pseudonimiseren.
  2. Is kennis van pseudonimiseren binnen jouw organisatie aanwezig en zijn er voldoende resources (mensen, processen, techniek)?
    Dan zal de keuze al snel neigen naar zelf pseudonimiseren.
  3. Worden er (persoons)gegevens uitgewisseld met ketenpartners of andere partijen? Dan is keuze voor een TTP verstandig. De TTP is hierbij de neutrale partij die zorgt dat alle partijen over dezelfde informatie beschikken. Je hoeft met de TTP ook maar eenmalig afspraken vast te leggen, in plaats van met alle samenwerkingspartners individueel.

Het afsluitende advies dat we graag willen meegeven, is dat het verstandig is om gegevens te pseudonimiseren, ook als dat niet direct noodzakelijk is of lijkt. Niet alleen persoonsgegevens moeten beschermd worden, maar bijvoorbeeld ook bedrijfsgegevens. Bedenk bij elk gegeven of het noodzakelijk is om het in zijn oorspronkelijke vorm te gebruiken of dat een pseudoniem volstaat.

Bij Scamander geloven we in de waarde van data. Daarom bevrijden we data en zetten die om in waarde. Waarde die bijdraagt aan het welzijn van onze klanten en medewerkers. Op een goede en ethische manier omgaan met data, en in het bijzonder persoonsgegevens, vinden we daarom van levensbelang.

Bas Rekveldt, Data Analist
Roxanne Robijns, Project Manager

Deel dit met uw volgers

We hebben de afgelopen weken verschillende blogs over pseudonimiseren gepubliceerd. De eerste blog ging over het hoe van pseudonomiseren. Vervolgens deelden we waarom je het gebruikt, wat erbij komt kijken wanneer je zelf gaat pseudonimiseren en welke uitdagingen er worden weggenomen wanneer je pseudonimiseren uitbesteedt aan een Trusted Third Party (TTP). In deze afsluitende blog zetten we alle bevindingen nog een keer voor je op een rijtje en sluiten we af met een conclusie en een advies.

Het wat & hoe van pseudonimiseren

Pseudonimiseren is een krachtige maatregel die je inzet om persoonsgegevens te beschermen. Je voorkomt hiermee dat iemands identiteit bekend wordt bij personen die dit niet hoeven of mogen weten. Je vervangt daarvoor persoonskenmerken door een minder zeggende, maar unieke, code waardoor het niet meer mogelijk is de persoon direct te herleiden. Je kunt dan nog wel de gegevens verreiken met andere bronnen die op dezelfde manier zijn gepseudonimiseerd.

Uitdagingen bij zelf pseudonimiseren

Je kunt pseudonimiseren zelf verzorgen. Maar dan zijn er wel een aantal uitdagingen waar je mee te maken krijgt. Dit zijn, in het kort:

  • Wanneer doe je het goed? Daarvan is geen vaste definitie.
  • De drie richtlijnen voor pseudonimiseren (zo vroeg mogelijk, zo veilig mogelijk, zo efficiënt mogelijk) staan regelmatig met elkaar op gespannen voet.
  • De best practice, pseudonimiseren in 2 stappen, vraagt veel van je organisatie qua kennis en resources.
  • Bij gebruik van gegevens van andere partijen, moet je dat met elke partij contractueel vastleggen.

Voor en tegens van uitbesteden aan een TTP

Je kunt pseudonimiseren ook uitbesteden aan een Trusted Third Party (TTP). Deze gespecialiseerde en gecertificeerde partijen zorgen voor gegarandeerde veiligheid en je hoeft niet zelf alle benodigde technische en organisatorische maatregelen te nemen. Opschalen is eenvoudig, de TTP is ‘auditable’ en het is een onafhankelijke partij, belangrijk wanneer je samenwerkt met meerdere organisaties met verschillende belangen. Er worden dus veel van de uitdagingen van pseudonimiseren weggenomen.

Toch zijn er ook een aantal zaken waar je rekening mee moet houden wanneer je pseudonimiseren uitbesteedt aan een TTP. Er worden door een TTP kosten in rekening gebracht voor het benodigde vooronderzoek en voor alles rondom de benodigde software. Daarnaast word je afhankelijk van de TTP die je in de arm neemt omdat overstappen verlies van geschiedenis betekent. Bovendien moeten er contractuele en juridische afspraken met de TTP gemaakt moeten worden, zoals bijvoorbeeld een verwerkersovereenkomst (VWO).

Er zijn ook een aantal zaken die je nog steeds zelf moet regelen, zoals toegang voor de TTP tot de betreffende gegevens, inregelen van de datastroom naar de TTP en het installeren van een stuk software. Als laatste, uitbesteden van pseudonimiseren aan een TTP verschoont je niet van het verzorgen van gegevensbescherming en het creëren van bewustzijn bij je medewerkers van de noodzaak van privacy en security.

Conclusie & advies

Nu we alle zaken rondom pseudonimiseren op een rijtje hebben gezet, kunnen we concluderen dat er eigenlijk geen eenduidige conclusie is. De belangrijkste reden hiervoor is dat ieder bedrijf en ook iedere situatie uniek is.

Wat we je wel kunnen geven, is een advies gebaseerd op een checklist. De volgende afwegingen helpen je bij het maken van een passende keuze.

  1. Zijn er binnen jouw organisatie al richtlijnen en standpunten op het gebied van beveiliging van persoonsgegevens?
    Dan zijn die leidend bij de keuzes die je maakt rondom pseudonimiseren.
  2. Is kennis van pseudonimiseren binnen jouw organisatie aanwezig en zijn er voldoende resources (mensen, processen, techniek)?
    Dan zal de keuze al snel neigen naar zelf pseudonimiseren.
  3. Worden er (persoons)gegevens uitgewisseld met ketenpartners of andere partijen? Dan is keuze voor een TTP verstandig. De TTP is hierbij de neutrale partij die zorgt dat alle partijen over dezelfde informatie beschikken. Je hoeft met de TTP ook maar eenmalig afspraken vast te leggen, in plaats van met alle samenwerkingspartners individueel.

Het afsluitende advies dat we graag willen meegeven, is dat het verstandig is om gegevens te pseudonimiseren, ook als dat niet direct noodzakelijk is of lijkt. Niet alleen persoonsgegevens moeten beschermd worden, maar bijvoorbeeld ook bedrijfsgegevens. Bedenk bij elk gegeven of het noodzakelijk is om het in zijn oorspronkelijke vorm te gebruiken of dat een pseudoniem volstaat.

Bij Scamander geloven we in de waarde van data. Daarom bevrijden we data en zetten die om in waarde. Waarde die bijdraagt aan het welzijn van onze klanten en medewerkers. Op een goede en ethische manier omgaan met data, en in het bijzonder persoonsgegevens, vinden we daarom van levensbelang.

Bas Rekveldt, Data Analist
Roxanne Robijns, Project Manager