De AVG stelt dat anonieme data informatie is die niet naar een geïdentificeerd persoon of identificeerbaar persoon herleidbaar is of persoonlijke data is die op zo'n manier is geanonimiseerd dat de persoon in kwestie niet of niet langer is te identificeren. Bij het anonimiseren van datasets gaan organisaties nog weleens de fout in, zo stelt de Spaanse privacytoezichthouder AEPD, die in een nieuw document tien misverstanden over anonimisering behandelt (pdf).
Volgens de AEPD speelt anonieme data een belangrijke rol bij allerlei onderzoeken. Het is dan wel belangrijk dat de data anoniem is en niet te herleiden is naar individuele personen. In de praktijk komt het voor dat anonimisering en pseudonimisering door elkaar worden gehaald. De AVG omschrijft pseudonimisering als het verwerken van persoonlijke data op zo'n manier dat de persoonlijke data niet langer meer aan een specifiek datasubject is toe te schrijven zonder het gebruik van aanvullende informatie.
Hierbij moet deze aanvullende informatie gescheiden worden bewaard. Aangezien het door middel van deze aanvullende informatie nog steeds mogelijk is om personen te identificeren, is gepseudonimiseerde persoonlijk data nog steeds persoonlijke data, zo stelt de Spaanse privacytoezichthouder. Geanonimiseerde data daarentegen is niet naar een specifiek individu te herleiden. Zodra de data is geanonimiseerd zijn individuen niet langer te identificeren en valt data niet meer onder de AVG.
Ook stelt de AEPD dat encryptie geen anonimiseringstechniek is, maar wel een handige tool kan zijn bij pseudonimisering. Daarnaast waarschuwt de toezichthouder dat het anonimiseren van data niet altijd mogelijk is. Dit is bijvoorbeeld het geval met hele kleine datasets, zeer verschillende datacategorieën of wanneer de dataset zeer veel demografische attributen of locatiegegevens bevat. Met het nu gepubliceerde document wil de AEPD misverstanden over anonimisering wegnemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.