Nieuwe NEN-norm helpt markt pseudonimisatie

Medische en commerciële bedrijven doen veelvuldig analyes met behulp van persoonsgegevens. Sinds de AVG van kracht is, liggen deze analyses – en vooral hoe er wordt omgegaan met gevoelige persoonsgegevens – onder een vergrootglas. De nieuwe NEN-norm voor diensten op het gebied van pseudonimisatie biedt houvast, voor zowel klanten als leveranciers van deze diensten.

Om data ethisch en wettelijk verantwoord te mogen gebruiken voor onderzoek en analyse, worden gegevens gepseudonimiseerd. “Dat wil zeggen dat alle gegevens worden verwijderd die herleidbaar zijn tot een persoon en worden vervangen door een pseudocode”, legt Adam Knoop uit. “Bij voorkeur gebeurt dit door een onafhankelijke derde partij.” Hij is oprichter van Viacryp, een bedrijf dat precies deze diensten verleent.

Pseudonimisatie is relatief nieuw, vertelt hij. “Sinds het begin van deze eeuw komen er steeds meer persoonsgegevens bij en worden deze data ook in toenemende mate gebruikt voor onderzoek en analyse. Pas recenter, mede door de komst van de AVG, is het besef gegroeid dat het voor dergelijke onderzoeken helemaal niet nodig is om te weten over wie bepaalde data gaat.”

 

Borgen van het proces

Hoewel het versleutelen en onherkenbaar maken van persoonsgegevens niet onbekend is, zijn pseudonimisatiediensten in Nederland nog niet standaard toegepast. “Veel bedrijven proberen het zelf te doen of redeneren dat ze de beveiliging van privacygevoelige data prima voor elkaar hebben en daarom zonder versleuteling onderzoek met data kunnen doen.”

Want zelfs al pseudonimiseert een organisatie zelf, dan nog loopt het bedrijf het risico dat een werknemer encryptiesleutels of vertaaltabellen kan inzien. Met die informatie is het mogelijk om de pseudocodes terug te herleiden tot de persoonsgegevens.

Vandaar ook dat de AVG vereist dat ‘aanvullende gegevens apart worden bewaard’ en er ‘technische en organisatorische maatregelen worden genomen’ ter bescherming van privacygevoelige gegevens.

Knoop: “Het organisatorische deel is goed te ondervangen door een onafhankelijke derde partij in te schakelen die het onherleidbaar maken van onderzoeksgegevens voor zijn rekening neemt. Daarmee borg je de onafhankelijkheid en betrouwbaarheid van je proces.”

 

Nieuwe norm schept duidelijkheid

Wanneer een organisatie zo’n ‘trusted third party’ inschakelt, is het belangrijk om te weten dat het een bonafide organisatie is. Hier komt de nieuwe NEN-norm om de hoek kijken. Vanuit de NEN is een normcommissie ingesteld waarin zowel klanten als leveranciers zitting hadden.

De afgelopen paar jaar is hard gewerkt aan het opstellen van een norm die de markt moet helpen helderheid te verschaffen in de dienstverlening, verantwoordelijkheden en mogelijkheden. In de norm staan de eisen aan een goed pseudonimisatieproces beschreven, evenals de bijbehorende verantwoordelijkheden van klant en leverancier.

“De nieuwe norm schept veel duidelijkheid, waardoor we onze dienstverlening beter kunnen uitleggen aan klanten”, zegt Knoop. Hij vertelt dat hij voorheen weken of maanden bezig was met aan klanten uitleggen hoe de diensten van zijn bedrijf werken. “De nieuwe norm zorgt voor betere communicatie en daardoor ook voor tijdwinst.”

 

Ethisch omgaan met persoonsgegevens

Hoewel de zorg voorop loopt op het gebied van pseudonimisatie, is de nieuwe norm ook toepasbaar in andere sectoren. “Je ziet dat data-analisten in de zorg bekend zijn met het begrip en het ook vaak toepassen. Een data-analist bij een commercieel bedrijf is er veel minder mee vertrouwd.

Toch gaat het allemaal om de vraag ‘Hoe ga je als organisatie op een ethische manier met je privacygevoelige klant- en medewerkersdata om?’. Bedrijven moeten gaan beseffen dat vertrouwen cruciaal is en een onderdeel van het winnen van vertrouwen van klanten, medewerkers en ketenpartners is het op een goede manier omgaan met persoonsgegevens.”

Het pseudonimiseren van persoonsgegevens maakt het mogelijk om, binnen de kaders van de wet, meerwaarde uit bestaande gegevens te halen.

Gerelateerde berichten...