De AVG ofwel GDPR is duidelijk: u mag persoonsgegevens alleen gebruiken voor het doel waarvoor u ze hebt gekregen. Dat is de theorie. De praktijk is, dat u die gegevens wel degelijk nodig hebt buiten productie, bijvoorbeeld om software mee te testen. Anonimiseren is dan een oplossing. Maar hoe zorgt u dat gegevens én onherleidbaar zijn, én bruikbaar? Die vraag krijgen wij geregeld.
Een eenduidig antwoord is er niet. De wet vraagt om volledige onherleidbaarheid, dus in theorie zit u safe als u buiten productie alle gegevens vervangt door x, of alle klantnamen door Jansen. Dan zijn de privacy officer en de Autoriteit Persoonsgegevens tevreden. Maar: testers en analisten kunnen dan helemaal niets meer met die data. U zult dus op een acceptabele manier moeten afwijken van de theorie, waarbij de privacy officer het laatste woord heeft.
Keuzes maken
Dit vraagt om weloverwogen keuzes. De kernvragen daarbij zijn: waar heeft u de data voor nodig en welke data zijn daarbij per se nodig?
Een tester bijvoorbeeld is gebaat bij gegevens die op zijn minst op persoonsgegevens líjken. Want met alleen maar kruisjes kan hij niet testen of het nieuwe it-systeem kan omgaan met exotische tekens in namen, of met onjuiste telefoonnummers. Ook vinden testers het vaak prettig om met ‘gewone’ namen en herkenbare straatnamen te werken.
Een analist, denk aan een medisch onderzoeker, heeft nog veel meer echte gegevens nodig, anders kan hij geen verbanden leggen. Als u alle voornamen door Jan vervangt, alle geboortedata door 26 mei 1932 en alle aandoeningen door roodvonk, is iedereen geanonimiseerd maar maakt u geen enkele betrouwbare analyse.
Voor opleidingen kunt u volstaan met gegenereerde (synthetische) data. Een andere optie is om het profiel (geslacht, leeftijd, regio) in stand te laten en overige gegevens te maskeren.
Een methode die veel wordt toegepast is het in stand houden van het patiënt- of klantnummer, waarbij de overige gegevens worden verwisseld. Het nummer is de sleutel om in productie een bepaalde patiënt of klant te kunnen terugvinden. Zolang testers, analisten, opleiders et cetera geen toegang hebben tot de productieomgeving, is de privacy van personen beschermd.
Testdatamanagement
De crux is om uw testdatamanagement op orde te hebben. Een helder beleid waarin u bepaalt hoe ver u in welke situatie afwijkt van totale anonimiteit in de richting van bruikbaarheid. Door dit beleid vast te leggen en te implementeren, toont u aan dat u er alles aan hebt gedaan wat redelijkerwijs van u mag worden verwacht om de privacy van uw klanten of patiënten te beschermen – uw zorgplicht.
Er zal in dit verhaal altijd een spanningsveld zijn tussen de gebruikers en de privacy officer. De privacy officer ziet het liefst in elk veld een x, terwijl gebruikers – testers, analisten, opleiders – het liefst zo realistisch mogelijke gegevens willen hebben. De gebruikersorganisatie en de privacy officer moeten de discussie dan ook samen voeren, en beiden achter de gemaakte keuzes staan.
Technisch kan namelijk alles. Het maakt niet uit hoe de keuzes uitvallen, voor elke situatie kan een passende configuratie van de anonimiseeroplossing worden gemaakt. Zelfs na implementatie kan die nog worden aangepast, als blijkt dat iets anders beter werkt.
Antwoord op de vraag
Dus, om antwoord te geven op de vraag ‘wanneer is het anoniem genoeg?’: strikt genomen is het alleen anoniem genoeg als u alle gegevens volledig onherleidbaar maakt.
Maar er zijn in de praktijk situaties denkbaar waarin u samen met de privacy officer kunt besluiten dat volledige onherleidbaar gemaakte gegevens leiden tot een onwerkbare situatie. In die gevallen kunt u besluiten een klein weloverwogen restrisico te accepteren.
Wilt u extra zekerheid? Vraag dan een (externe) auditor om u testdatamanagement te beoordelen.