Rabobank onthult handige techniek voor het naleven van de AVG

De algemene verordening gegevensbescherming (AVG) – internationaal bekend als de EU General Data Protection Regulation (GDPR) – is nu van kracht. Ongeacht of jouw organisatie al volledig naleeft, wij zijn van mening dat het ongetwijfeld een lastig proces is geweest of wordt. Het proces tot naleving kan wellicht het beste beschreven worden als ‘stressvol’ en misschien zelfs ‘educatief’, maar we betwijfelen of het woord ‘plezier’ van toepassing is.

Medewerkers van de Rabobank hebben echter bewezen dat ze de AVG-naleving zo leuk mogelijk hebben kunnen maken voor henzelf. Het bedrijf heeft onthuld dat ze gebruik maken van een creatief cijferschrift om werknemers te helpen persoonsgegevens te pseudonimiseren. Zo hebben ze de informatie van hun klanten vervangen met de Latijnse benamingen voor bloemen, wat ertoe leidt dat iedereen die ongeautoriseerde toegang tot de databases van de bank verkrijgt, een lijst met onbruikbare alter ego’s te zien krijgt.

De Rabobank heeft met trots uitgesproken dat deze werkwijze voor het naleven van de AVG uitstekend werkte voor hun personeel. Of, zoals hun werknemers zelf zouden kunnen zeggen: suum cuique.

Wat is de modus operandi?

Pseudonimisering maskeert gegevens door persoonsgegevens te vervangen door kunstmatige identificatiemiddelen. Hoewel het centraal staat in de bescherming van gegevens – het wordt maar liefst vijftien keer genoemd in de AVG – en het kan bijdragen aan het waarborgen van de privacy van betrokkenen, heeft pseudonimisering ook zijn beperkingen.

Ten eerste vervangt het slechts een deel van de gegevensinformatie. Met behulp van de pseudonimisering kan een betrokkene bijvoorbeeld een nieuwe naam, adres of geboortedatum krijgen. Alhoewel de Rabobank op een creatieve manier omgaat met het maskeren van persoonsgegevens, kunnen ze deze techniek maar met beperkte mate gebruiken. Het probleem zit niet in het gebruikmaken van Latijnse woorden; het bevat nog steeds persoonlijke gegevens en is daarom nog steeds onderhevig aan de AVG.

Er zijn echter een paar uitzonderingen. Gepseudonimiseerde gegevens zijn niet onderworpen aan de vereisten van de AVG met betrekking tot de rechten van betrokkenen. Organisaties kunnen immers niet het recht van inzage verlenen als ze niet weten tot wie de gegevens behoren. Zelfs als ze dat zouden kunnen, zou de betrokkene informatie ontvangen die uiteraard niet klopt.

Bovendien mogen organisaties die persoonsgegevens pseudonimiseren deze gebruiken voor andere doeleinden dan waarvoor ze oorspronkelijk zijn verzameld. Artikel 25 van de Verordening bepaalt dat “passende technische en organisatorische maatregelen, zoals pseudonimisering” uitgevoerd kunnen worden en “de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen”.

Grootse internationale bedrijven zoals Apple, Google en Uber zijn ook begonnen met het pseudonimiseren van persoonsgegevens, zodat gegevensverwerkers gebruik kunnen maken van deze informatie zonder zich zorgen te maken over de privacy ervan. Deze techniek zal ongetwijfeld populairder worden naarmate organisaties zich bewust worden van de voordelen. Het valt echter nog te bezien of dit tevens voor een heropleving van de Latijnse taal zal zorgen.

Het pseudonimiseren van gegegevens binnen jouw organisatie

Voor hulp bij het pseudonimiseren van gegevens binnen jouw organisatie kun je gebruik maken van onze handige EU GDPR Documentation Toolkit.

Deze toolkit bevat handige templates voor elk proces dat je moet doorlopen om aan de Verordening te voldoen, inclusief pseudonimisering. Daarnaast bevat het deskundige richtlijnen voor het soort gegevens dat je het beste kunt pseudonimiseren, hoe je dit het beste kunt bereiken en welke alternatieven ervoor zijn.

Probeer de toolkit hier gratis uit >>

Leave a Reply

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

This site uses Akismet to reduce spam. Learn how your comment data is processed.