Pseudonimiseren uitbesteden
- 17 december 2020
De afgelopen weken publiceerden we een drietal blogs over pseudonimiseren. We legden uit hoe pseudonomiseren werkt, waarom je het gebruikt en wat erbij komt kijken wanneer je zelf gaat pseudonimiseren. In deze vierde blog gaan we in op het uitbesteden van pseudonimiseren aan een Trusted Third Party (TTP). Welke uitdagingen worden er dan weggenomen? En kleven er ook nadelen aan het uitbesteden van pseudonimiseren?
Welke uitdagingen heb je bij pseudonimiseren?
In de vorige blog over zelf pseudonimiseren, hebben we een aantal uitdagen benoemd. Deze uitdagingen waren in het kort:
- Wanneer doe je het goed? Daarvan is geen vaste definitie. Certificeren kan een (gedeeltelijke) oplossing bieden.
- Er zijn drie richtlijnen voor pseudonimiseren: zo vroeg mogelijk, zo veilig mogelijk en zo efficiënt mogelijk. Maar deze drie richtlijnen staan regelmatig met elkaar op gespannen voet.
- Pseudonimiseren in 2 stappen, wat de best practice is, vraagt best veel van je organisatie qua kennis en resources (mensen, processen & techniek).
- Bij gebruik van gegevens van andere partijen, moet je contractueel veel regelen. Je wilt vastleggen welke garanties er zijn op zowel technisch, organisatorisch, politiek als juridisch vlak.
Uitbesteden aan een Trusted Third Party
Je kunt pseudonimiseren ook uitbesteden in plaats van dit zelf te regelen. Dat doe je aan een Trusted Third Party, een TTP. Dit zijn gespecialiseerde en gecertificeerde partijen. Het uitbesteden van pseudonimiseren biedt behoorlijk wat voordelen. Zo is de veiligheid bij een TTP gegarandeerd. Je betaalt voor een stuk zekerheid. Daarbij hoef je zelf niet alle benodigde technische en organisatorische maatregelen te nemen. Je kunt waar nodig makkelijk opschalen, de TTP is ‘auditable’ en het is een onafhankelijke partij. Dit laatste is vooral belangrijk wanneer je samenwerkt met meerdere organisaties en deze mogelijk verschillende belangen hebben.
Nog wel zelf regelen
Wanneer je pseudonimiseren uitbesteedt, betekent het niet dat je zelf niets meer hoeft te regelen voor het beschermen van de gegevens. Zo moeten er wel afspraken worden gemaakt over welke gegevens moeten worden gepseudonimiseerd. Ook moet de toegang tot deze gegevens worden geregeld, zodat de TTP ermee aan de slag kan. Je moet dus je eigen data nog goed beveiligen. Daarnaast dient er vaak een stuk software geïnstalleerd te worden en de datastroom naar de TTP moet worden ingeregeld. Tot slot is aandacht en het bewustzijn van de medewerkers over de noodzaak van privacy en security nog steeds belangrijk om op orde te brengen. Zodat iedereen de richtlijnen kent hoe om te gaan met (privacygevoelige) gegevens.
Ook aan uitbesteden kleven enkele nadelen
Ondanks dat het inzetten van een TTP bij pseudonimiseren veel van je uitdagingen wegneemt, zijn er ook een aantal zaken waar je rekening mee moet houden. Zo zijn er kosten verbonden aan het gebruik van een TTP. Vaak rekent een TTP kosten voor het vooronderzoek en zijn er licentie-, ontwikkel- en exploitatiekosten voor de benodigde software. De hoogte van deze kosten is geheel afhankelijk van de situatie. Wel moet je daarbij in overweging nemen dat dat je ook kosten maakt wanneer je zelf het pseudonimiseren regelt. Door een TTP in de arm te nemen, creëer je ook een zekere mate van afhankelijkheid. Wanneer je wilt overstappen naar een andere TTP of pseudonimiseren zelf wilt gaan uitvoeren, kost het je je geschiedenis. Want de betreffende TTP gaat uiteraard geen codes vrijgeven. Als laatste moet je er rekening mee houden dat er altijd contractuele en juridische afspraken met de TTP gemaakt moeten worden, zoals bijvoorbeeld een verwerkersovereenkomst (VWO).
De volgende blog
In de volgende, en ook direct laatste blog van deze blogserie over pseudonimiseren, zetten we nog een keer kort op een rijtje wat we in de eerdere blogs hebben beschreven. We sluiten die blog vervolgens af met een conclusie en een advies.
Bas Rekveldt, Data Analist
Roxanne Robijns, Project Manager
Deel dit met uw volgers
De afgelopen weken publiceerden we een drietal blogs over pseudonimiseren. We legden uit hoe pseudonomiseren werkt, waarom je het gebruikt en wat erbij komt kijken wanneer je zelf gaat pseudonimiseren. In deze vierde blog gaan we in op het uitbesteden van pseudonimiseren aan een Trusted Third Party (TTP). Welke uitdagingen worden er dan weggenomen? En kleven er ook nadelen aan het uitbesteden van pseudonimiseren?
Welke uitdagingen heb je bij pseudonimiseren?
In de vorige blog over zelf pseudonimiseren, hebben we een aantal uitdagen benoemd. Deze uitdagingen waren in het kort:
- Wanneer doe je het goed? Daarvan is geen vaste definitie. Certificeren kan een (gedeeltelijke) oplossing bieden.
- Er zijn drie richtlijnen voor pseudonimiseren: zo vroeg mogelijk, zo veilig mogelijk en zo efficiënt mogelijk. Maar deze drie richtlijnen staan regelmatig met elkaar op gespannen voet.
- Pseudonimiseren in 2 stappen, wat de best practice is, vraagt best veel van je organisatie qua kennis en resources (mensen, processen & techniek).
- Bij gebruik van gegevens van andere partijen, moet je contractueel veel regelen. Je wilt vastleggen welke garanties er zijn op zowel technisch, organisatorisch, politiek als juridisch vlak.
Uitbesteden aan een Trusted Third Party
Je kunt pseudonimiseren ook uitbesteden in plaats van dit zelf te regelen. Dat doe je aan een Trusted Third Party, een TTP. Dit zijn gespecialiseerde en gecertificeerde partijen. Het uitbesteden van pseudonimiseren biedt behoorlijk wat voordelen. Zo is de veiligheid bij een TTP gegarandeerd. Je betaalt voor een stuk zekerheid. Daarbij hoef je zelf niet alle benodigde technische en organisatorische maatregelen te nemen. Je kunt waar nodig makkelijk opschalen, de TTP is ‘auditable’ en het is een onafhankelijke partij. Dit laatste is vooral belangrijk wanneer je samenwerkt met meerdere organisaties en deze mogelijk verschillende belangen hebben.
Nog wel zelf regelen
Wanneer je pseudonimiseren uitbesteedt, betekent het niet dat je zelf niets meer hoeft te regelen voor het beschermen van de gegevens. Zo moeten er wel afspraken worden gemaakt over welke gegevens moeten worden gepseudonimiseerd. Ook moet de toegang tot deze gegevens worden geregeld, zodat de TTP ermee aan de slag kan. Je moet dus je eigen data nog goed beveiligen. Daarnaast dient er vaak een stuk software geïnstalleerd te worden en de datastroom naar de TTP moet worden ingeregeld. Tot slot is aandacht en het bewustzijn van de medewerkers over de noodzaak van privacy en security nog steeds belangrijk om op orde te brengen. Zodat iedereen de richtlijnen kent hoe om te gaan met (privacygevoelige) gegevens.
Ook aan uitbesteden kleven enkele nadelen
Ondanks dat het inzetten van een TTP bij pseudonimiseren veel van je uitdagingen wegneemt, zijn er ook een aantal zaken waar je rekening mee moet houden. Zo zijn er kosten verbonden aan het gebruik van een TTP. Vaak rekent een TTP kosten voor het vooronderzoek en zijn er licentie-, ontwikkel- en exploitatiekosten voor de benodigde software. De hoogte van deze kosten is geheel afhankelijk van de situatie. Wel moet je daarbij in overweging nemen dat dat je ook kosten maakt wanneer je zelf het pseudonimiseren regelt. Door een TTP in de arm te nemen, creëer je ook een zekere mate van afhankelijkheid. Wanneer je wilt overstappen naar een andere TTP of pseudonimiseren zelf wilt gaan uitvoeren, kost het je je geschiedenis. Want de betreffende TTP gaat uiteraard geen codes vrijgeven. Als laatste moet je er rekening mee houden dat er altijd contractuele en juridische afspraken met de TTP gemaakt moeten worden, zoals bijvoorbeeld een verwerkersovereenkomst (VWO).
De volgende blog
In de volgende, en ook direct laatste blog van deze blogserie over pseudonimiseren, zetten we nog een keer kort op een rijtje wat we in de eerdere blogs hebben beschreven. We sluiten die blog vervolgens af met een conclusie en een advies.
Bas Rekveldt, Data Analist
Roxanne Robijns, Project Manager
Scamander
Bernhardstraat 1
3433 EL Nieuwegein
Algemeen: 030-6029000
KvK : 30 15 16 09, Utrecht
E-mail: info@scamander.com
Scamander
Bernhardstraat 1
3433 EL Nieuwegein
Algemeen: 030-6029000
KvK : 30 15 16 09, Utrecht
E-mail: info@scamander.com
Copyright Scamander 2024
Copyright Scamander 2024