Bescherm persoonsgegevens door data te anonimiseren, pseudonimiseren of te aggregeren
dat-04Dataverkenning en datapreparatieOntwikkelenOntwikkelaarJuristPrivacy en gegevensbescherming
Maatregel
Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens toe bij het verwerken van de data.
Toelichting
- Als is vastgesteld welke persoonsgegevens mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes, moet worden nagegaan of er maatregelen kunnen worden getroffen om deze te beschermen.
- Het algoritme verwerkt niet meer persoonsgegevens dan noodzakelijk; de verwerkte gegevens zijn proportioneel en substantieel.
- Hierbij kan worden gedacht aan het pseudonomiseren, anonimiseren of aggregeren van persoonsgegevens.
- Het bepalen of persoonsgegevens mogen worden verwerkt voor algoritmes moet worden bekeken in samenhang met maatregelen die kunnen worden getroffen om deze gegevens te beschermen.
Bijbehorende vereiste(n)
Bronnen
Voorbeeld
Groep Gegevensbescherming: Artikel 20 (WP 216)
Dit voorbeeld kan ter inspiratie dienen voor hoe de maatregel toegepast kan worden.
In een advies van de 'Artikel 29 Werkgroep' (tegenwoordig vervangen door de European Data Protection Board (EDPB)) over anonimiseringstechnieken staan verschillende technieken benoemd voor het pseudonimiseren en anonimiseren van persoonsgegevens. Hierbij wordt gekeken naar de factoren: Herleidbaarheid, Koppelbaarheid en Deduceerbaarheid. Hierbij worden ook vaak gemaakte fouten aangegeven zodat deze voorkomen kunnen worden. Er wordt bij iedere techniek een voorbeeld gegeven, maar de exacte implementatie moet zelf verder bekeken worden. Dit voorbeeld kan ondersteunen bij het kiezen van een vorm van gegevensbescherming. Volgens de Autoriteit Persoonsgegevens werkt de EDPB aan guidelines over anonimiseren en pseudonimiseren. Zodra hier meer over bekend is, zal dit toegevoegd worden.
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl