Het gebruiken van persoonsgegevens voor een ander doel dan waarvoor de persoonsgegevens verzameld zijn—bijvoorbeeld het testen en ontwikkelen van software of het analyseren van de betreffende gegevens—is niet toegestaan. Anonimiseren is de meest gebruikte methode om persoonsgegevens te beschermen in een dergelijk scenario.

Door te anonimiseren zorg je ervoor dat de persoonsgegevens niet meer gebruikt kunnen worden om te kunnen herleiden naar een persoon. Daarom vallen geanonimiseerde gegevens niet onder de AVG wet- en regelgeving. En dus mogen deze gebruikt worden voor allerlei doeleinden.

Om er voor te zorgen dat je gegevens bruikbaar blijven voor test-, ontwikkel- en analysedoeleinden lijkt de oplossing dus simpel: anonimiseren. Dit blijkt echter in de praktijk makkelijker gezegd dan gedaan. Veel organisaties lopen tegen uitdagingen aan die het implementeren van een anonimiseerstrategie in de weg zitten.

Om deze uitdagingen inzichtelijk te krijgen—en te overbruggen—hebben wij een onderzoek gedaan onder Security Officers, Functionarissen Gegevensbescherming en IT-managers naar de meest voorkomende “anonimiseerdrempels” waar hun organisaties tegenaan lopen bij het bedenken en implementeren van een anonimiseerstrategie. Wat blijkt? Iedere organisatie loopt tegen één of meerdere anonimiseerdrempels aan die overwonnen moeten worden om een succesvolle anonimiseerstrategie te implementeren.

Anonimiseerdrempels

In ons onderzoek vroegen we de deelnemers om aan te geven welke anonimiseerdrempels zij ervaren binnen hun organisaties. Iedere deelnemer kon kiezen uit één of meerdere anonimiseerdrempels en mocht ook zelf anonimiseerdrempels toevoegen indien van toepassing.

Resultaten

Zoals in de grafiek te zien is, ondervinden alle ondervraagde personen één of meerdere anonimiseerdrempels binnen zijn of haar organisatie. Hierbij is te zien dat de drempels die ervaren worden dicht bij elkaar liggen.

Van de drie anonimiseerdrempels die erbovenuit steken valt het op dat twee ervan gericht zijn op kennis met betrekking tot het anonimiseren. In het geval van “Gebrek aan kennis over hoe het anonimiseren moet worden toegepast” ligt dit vooral aan de wet- en regelgeving kant, terwijl bij “Configureren, inrichten en uitvoeren van anonimiseren is complex” meer het gebrek aan technische kennis betreft.

De anonimiseerdrempel “Geen focus op het anonimiseren vanuit audits” geeft duidelijk aan dat veel organisaties de noodzaak tot anonimiseren (nog) niet zien, omdat er niet op gecontroleerd wordt. Onze verwachting is echter dat dit op korte termijn gaat veranderen nu steeds meer auditorganisaties gerichter vragen stellen over hoe er omgegaan wordt met persoonsgegevens in niet-doelgebonden toepassingen (gebaseerd op bijvoorbeeld ISO27701). Daarnaast is ook door de Autoriteit Persoonsgegevens (AP) een signaal afgegeven dat er meer gehandhaafd gaat worden, nu organisaties voldoende tijd hebben gehad om te kunnen voldoen aan privacy wet- en regelgeving.

Van de andere anonimiseerdrempels valt met name “Geen zicht op waar persoonsgegevens zich bevinden binnen databronnen” op. Als een organisatie geen duidelijk beeld heeft waar persoonsgegevens verwerkt en opgeslagen zijn, is het ook niet mogelijk om deze te beschermen. Wij zien deze situatie steeds vaker ontstaan nu organisaties meer en meer data verwerken, waaronder ook persoonsgegevens.

De overige anonimiseerdrempels zijn met name functioneel van aard, waarbij de inrichting en uitvoering van het anonimiseren centraal staan. Hierbij zien wij dat organisaties steeds meer eisen stellen aan het anonimiseren op het gebied van doorlooptijd en koppelbaarheid van de geanonimiseerde gegevens. Organisaties willen met geanonimiseerde systemen ketentesten uitvoeren, waarbij de data over meerdere databronnen verspreid is.
Een bijkomend effect is dat de afhankelijkheid van anonimisering ook stijgt. Om bijvoorbeeld te kunnen testen op een geanonimiseerde omgeving is het van belang dat het anonimiseerproces goed en snel doorlopen wordt zodat er geen testmedewerkers onnodig moeten wachten.

Onze conclusie van het onderzoek is dat—hoewel we nu een goed beeld hebben waar organisaties tegenaan lopen met betrekking tot het anonimiseren van persoonsgegevens—er nog grote stappen te nemen zijn om anonimiseren een standaard onderdeel van ieder test, ontwikkel- en analyseproces te maken.
Nu de druk vanuit wet- en regelgeving, maar ook het privacy-bewustzijn onder personen, toeneemt verwachten wij dat steeds meer organisaties prioriteit gaan geven aan het beschermen van dataprivacy. Niet alleen omdat het moet, maar ook juist om als organisatie onderscheidend te zijn. Dit is het moment om als organisatie te laten zien dat men de privacy van uw klanten, medewerkers, cliënten, patiënten of burgers serieus neemt!

Wellicht herkent u een aantal van de anonimiseerdrempels bij uw organisatie. Met Dataheroes Privacy Guard kunnen wij uw organisatie ondersteunen bij het verlagen of zelfs laten verdwijnen van de drempels. Zo biedt Dataheroes Privacy Guard functionaliteiten die direct impact hebben, zoals het automatisch detecteren van privacygevoelige gegevens en de toegankelijke manier waarop u zelf uw configuratie kunt samenstellen en beheren. Daarnaast biedt Dataheroes Privacy Guard de mogelijkheid om over databronnen heen consistent en eenduidig te anonimiseren.

Wilt u weten hoe wij uw anonimiseerdrempels kunnen laten verdwijnen? Neem contact met ons op en wij komen u graag vertellen, en vooral laten zien, hoe Dataheroes Privacy Guard u kan helpen bij het beschermen van privacygevoelige gegevens!