Wanneer zijn gegevens anoniem genoeg?

De AVG is duidelijk: je mag persoonsgegevens alleen gebruiken voor het doel waarvoor je ze hebt gekregen.

Dat is de theorie. De praktijk is, dat je die gegevens wel degelijk nodig hebt buiten productie, bijvoorbeeld om te testen. Anonimiseren is dan een oplossing. Maar hoe zorg je dat gegevens én onherleidbaar zijn, én bruikbaar? Die vraag krijgen wij geregeld. 
 
Een eenduidig antwoord is er helaas niet. De wet vraagt om volledige onherleidbaarheid, dus in theorie zit je safe als je buiten productie alle gegevens vervangt door x, of alle patiëntnamen door Jansen. Dan zijn de privacy officer en de Autoriteit Persoonsgegevens tevreden. Maar: testers en analisten kunnen dan helemaal niets meer met die data. Je zult dus op een acceptabele manier moeten afwijken van de theorie, waarbij de privacy officer het laatste woord heeft.

Keuzes maken

Dit vraagt om weloverwogen keuzes. De kernvragen daarbij zijn: waar heb je de data voor nodig en welke data heb je daarbij per se nodig? 
Een tester, bijvoorbeeld, is gebaat bij gegevens die op zijn minst op persoonsgegevens lijken. Met alleen maar kruisjes kan hij niet testen of het nieuwe IT-systeem kan omgaan met exotische tekens in namen of met onjuiste telefoonnummers. 
Een medisch onderzoeker heeft echte gegevens nodig, anders kan hij geen verbanden leggen. 

Patiëntennummer, het ei van Columbus? 

Voor opleidingsdoeleinden kun je volstaan met gegenereerde (synthetische) data. Of om het profiel (geslacht, leeftijd, regio) in stand te laten en overige gegevens te maskeren.  
Een methode die veel wordt toegepast is het in stand houden van het patiëntnummer, waarbij de overige gegevens worden verwisseld. Het nummer is de sleutel om in productie een bepaalde patiënt te kunnen terugvinden. Zolang testers, analisten, opleiders etc. geen toegang hebben tot de productieomgeving, is de privacy van personen beschermd. 

Helder beleid

De crux is om een helder beleid vast te stellen waarin je bepaalt hoever je in welke situatie afwijkt van totale anonimiteit in de richting van bruikbaarheid. Door dit beleid vast te leggen en te implementeren, toon je aan dat je er alles aan hebt gedaan wat redelijkerwijs van jou mag worden verwacht om de privacy van je patiënten te beschermen – je zorgplicht. 

Technisch kan alles. Het maakt niet uit hoe de keuzes uitvallen, voor elke situatie zijn passende oplossingen. Wij, Intrakoop en Protinus IT, vertellen je hier graag meer over.