Deanonimisering bestaat niet.

Gisteren dook ineens op diverse media een studie over anonimisering op die door de UCLouvain en Imperial College London is uitgevoerd. Headlines zoals

  • “Anonimisatie bestaat niet en is geen manier om de GDPR te omzeilen” en 
  • “Met slechts 15 karakteristieken per individu kan iedere dataset gedeanonimiseerd worden”. of
  • “Bedrijven verkopen anonieme gegevens die te herleiden zijn tot personen!”

Laten we het simpel houden: deanonimisering bestaat niet. Als een dataset anoniem is kun je niet teruggaan tot een persoon en is de GDPR niet van toepassing. Vanuit GDPR perspectief doe je met die data waar je zin in hebt. Kun je alsnog teruggaan tot een persoon? Dan is de dataset dus niet anoniem, is de GDPR van toepassing en kun je die niet zomaar doorverkopen of hergebruiken. 

Depersonalisering of pseudonimisering wordt in de GDPR erkend als een maatregel om risico’s te beperken, maar net omdat die gegevens met extra data alsnog te herleiden zijn tot een persoon blijft de GDPR van toepassing. 

De studie is interessant maar bewijst niets nieuws. Het is een bevestiging van wat privacy professionals al langer weten. Hoe meer data van miljarden personen verzameld en verwerkt worden, bijvoorbeeld op sociale netwerken en de duizenden apps die er zijn, hoe moeilijker anonimisering wordt. Datasets die 20 jaar geleden in de praktijk anoniem waren zijn dat nu niet meer omdat er veel meer data beschikbaar is en geavanceerdere methodes zijn om data te herleiden tot een persoon. 

Wat zouden betere headlines zijn geweest?

  • “Nieuwe studie: anonimisering nog best moeilijk”
  • “Databrokers: Oeps, die data hadden we zo nooit mogen verkopen”.

Samengevat heb je als organisatie twee mogelijkheden in deze context:

  • je pseudonimiseert, dat is eenvoudiger maar je zult rekening moeten houden met de GDPR, en bijvoorbeeld voor commercialisering van gegevens moet je meestal toestemming hebben
  • je anonimiseert gegevens, maar dan zul je zeer goed moeten toetsen en documenteren dat de gegevens anoniem zijn. Nu, en in de toekomst. 

Artikelen:

De studie:

Share