Wanneer worden gegevens als anoniem, pseudoniem of direct identificerend beschouwd?

Om te weten welke gegevensbeschermingsmaatregelen er getroffen moeten worden, is het van belang te weten hoe identificeerbaar onderzoeksgegevens zijn (1):

• Direct identificeerbare gegevens: Alle gegevens waarmee een persoon met weinig tot geen moeite onmiddellijk kan worden geïdentificeerd (bv. namen, gezichten, unieke kenmerken).
• Indirect identificerende gegevens: Gegevens waarmee een persoon niet onmiddellijk kan worden geïdentificeerd, maar waarbij het mogelijk blijft om met de gegevens een persoon te identificeren. Gepseudonimiseerde gegevens zijn een voorbeeld hiervan.
• Anonieme gegevens: Gegevens die niet tot een persoon kunnen worden herleid.

Overweging 26 van de AVG conceptualiseert anonieme gegevens als ‘gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken.’ (2).

Gegevens zonder direct identificerende gegevens kunnen op verschillende manieren herleid worden tot een persoon (3).

• Met een sleutelbestand waarmee tweeweg-gecodeerde gegevens aan identificerende gegevens gelinkt kunnen worden (linkability/koppelbaarheid).
• Door een uniek record te isoleren dat een individu identificeert, waarna het herleid kan worden (herleidbaarheid via singling-out). Zie deze kaart (1) voor een duidelijk voorbeeld hiervan. Naarmate persoonskenmerken unieker zijn, is het gemakkelijker te herleiden. Denk bijvoorbeeld aan een patiënt met een zeldzame ziekte.
• Door de waarde van een persoonskenmerk met grote waarschijnlijkheid af te leiden uit de waarden van een reeks andere persoonskenmerken (inference/deduceerbaarheid).

Gegevens verzameld van personen, hetzij direct in het kader van wetenschappelijk onderzoek, hetzij wanneer ze worden hergebruikt voor vervolgonderzoek, zijn in de praktijk dus zelden anoniem. Onderzoeksgegevens zijn bijna altijd gepseudonimiseerd.

In de praktijk

De meningen over waar de grens tussen anoniem en pseudoniem precies ligt, lopen uiteen. De ‘Opinion 05/2014 on Anonymisation Techniques’ gaat uit van een strikte interpretatie, en zegt dat gegevens nooit anoniem zijn zodra identificatie technisch mogelijk is (er bestaat bijvoorbeeld ergens een sleutel naar identificerende gegevens, ook al heeft de onderzoeker het sleutelbestand niet) (3). De minder strikte interpretatie houdt rekening met hoeveel moeite het identificeren zou kosten, waarbij rekening gehouden wordt met de context (bijvoorbeeld of identificatie verboden is) (4). Die interpretatie sluit aan op jurisprudentie (4, 5). Ook de hierboven genoemde AVG-overweging laat er ruimte voor. De FAQ over anonimiseren van de AVG-Helpdesk voor Zorg, Welzijn en Sport benadrukt tevens het belang van de context (6). De herziene Gedragscode Gezondheidsonderzoek neemt geen stelling hierin, maar geeft aan dat de lat erg hoog ligt om van anonieme gegevens te spreken (7). Om te bepalen of in een specifieke situatie sprake is van anonieme gegevens is vaak statistische, juridische en soms ook technische en wetenschappelijk-inhoudelijke expertise vereist.

Het LCRDM heeft een matrix opgesteld die criteria geeft op basis waarvan gegevens kunnen worden ingedeeld (niet gepseudonimiseerd, wel gepseudonimiseerd op niveau 1, 2 of 3, of geanonimiseerd) (8). Lees deze FAQ voor informatie over hoe moet worden omgegaan met de verschillende niveaus van (her)identificatierisico.

Bronnen

1. Landelijk Coördinatiepunt Research Data Management (LCDRM) – Anonimisering reference card voor onderzoekers
2. AVG
3. ‘Opinion 05/2014 on Anonymisation Techniques’ van Article 29 Data Protection Working Party
4. Groos, D., & Van Veen, E-B. (2020). Anonymised Data and the Rule of Law. European Data Protection Law Review, 4, 498-508.
5. Website EUR-Lex - Judgment of the General Court (Eighth Chamber, Extended Composition) of 26 April 2023, Document 62020TJ0557.
6. Website AVG-Helpdesk voor Zorg, Welzijn en Sport - Anonimiseren (voor het laatst geraadpleegd op 01-03-2024)
7. COREON - Gedragscode Gezondheidsonderzoek (januari 2022)
8. Landelijk Coördinatiepunt Research Data Management (LCDRM) - Risicomanagement voor onderzoeksdata over mensen, een generieke matrix als hulpmiddel voor datastewards en onderzoeksondersteuners voor het beoordelen van privacyrisico’s met onderzoeksdata en het vaststellen van de juiste methodes voor risicomanagement

Voor het laatst gewijzigd op 01-03-2024

Verder lezen

• Scholte, R., Kranendonk, E., Paardekooper, M. & Ploem, C. (2019). Hergebruik van patiëntgegevens voor wetenschappelijk onderzoek: op weg naar eenduidige spelregels. Tijdschr Gezondheidswet 97, 55–58.
• Sariyar, M., Suhr, S., & Schlünder, I. (2017). How sensitive is genetic data?. Biopreservation and biobanking, 15(6), 494-501.
• El Emam, K., Rodgers, S., & Malin, B. (2015). Anonymising and sharing individual patient data. BMJ, 350.