De Verduidelijking van de EDPB in Januari 2025
De Richtlijnen 01/2025 van de Europese Toezichthoudende Autoriteit over Pseudonimisering, gepubliceerd in januari 2025, introduceerden verschillende verduidelijkingen met aanzienlijke nalevingsimplicaties voor organisaties die gegevensanonimiseringstools gebruiken.
De meest ingrijpende verduidelijking: de richtlijnen introduceren het concept van een "pseudonimisering domein" — de set van partijen waarvoor gepseudonimiseerde gegevens koppelbaar blijven aan echte individuen. Gepseudonimiseerde gegevens zijn persoonlijke gegevens onder GDPR voor elke partij binnen het pseudonimisering domein (partijen die de pseudonimisering sleutel bezitten of die deze kunnen afleiden). De richtlijnen stellen expliciet dat gepseudonimiseerde gegevens hun status als persoonlijke gegevens niet veranderen — ze blijven onderhevig aan alle GDPR-verplichtingen — zelfs als ze niet-identificerend lijken voor partijen buiten het domein.
Deze verduidelijking heeft invloed op organisaties die geloofden dat "tokenisatie" of "pseudonimisering met sleutels" hun gegevens uit de reikwijdte van de GDPR had verwijderd. Volgens de richtlijnen van januari 2025 is dat niet het geval. De organisatie die de pseudonimisering sleutel bezit, blijft een GDPR-gegevensbeheerder voor de gepseudonimiseerde gegevens.
De Marketingkloof van Tools
Veel tools die als "anonimisering" tools worden gepresenteerd, produceren eigenlijk gepseudonimiseerde gegevens. Het onderscheid:
Echte anonimisering (onomkeerbaar): De transformatie kan door geen enkele partij worden teruggedraaid, met gebruik van enige middelen die nu of in de toekomst beschikbaar zijn. Echte anonimisering verwijdert gegevens volledig uit de reikwijdte van de GDPR.
Pseudonimisering (omkeerbaar): De transformatie kan worden teruggedraaid met behulp van een sleutel, een opzoektafel of aanvullende informatie die apart wordt bewaard. Pseudonimisering verwijdert gegevens niet uit de reikwijdte van de GDPR — het blijft persoonlijke gegevens voor partijen die de sleutel bezitten of kunnen afleiden.
Token-gebaseerde systemen (vervangen PII door consistente tokens en onderhouden een mappingtabel), encryptie-gebaseerde systemen (vervangen PII door versleutelde waarden en onderhouden een decryptiesleutel), en formaat-behoudende encryptie produceren allemaal gepseudonimiseerde gegevens. De gegevens blijven persoonlijke gegevens onder de richtlijnen van de EDPB van januari 2025.
Hashing (het toepassen van een eenrichtingshashfunctie op PII-waarden) is dichter bij anonimisering — als de hashfunctie cryptografisch veilig is en geen pre-image lookup haalbaar is — maar de richtlijnen van de EDPB merken op dat hashing van low-entropy gegevens (korte strings zoals namen of veelvoorkomende identificatoren) kwetsbaar is voor rainbow table-aanvallen en mogelijk geen echte anonimisering vormt.
Nalevingsstrategie Onder de Nieuwe Richtlijnen
DPO's moeten hun gegevensclassificatiestrategie heroverwegen in het licht van de richtlijnen van de EDPB van januari 2025:
Voor gegevens die zijn geclassificeerd als "geanonimiseerd" (buiten de reikwijdte van de GDPR): her-evalueer of de transformatie echt onomkeerbaar is. Als enige partij het kan terugdraaien — inclusief de gegevensbeheerder zelf — is het gepseudonimiseerd en blijft de GDPR van toepassing.
Voor gegevens die buiten de reikwijdte van de GDPR moeten blijven (voor analyses, archivering of onderzoek): gebruik onomkeerbare anonimiseringstechnieken — redactie (permanente verwijdering), masking met niet-herstelbare waarden, of cryptografisch hashing van high-entropy gegevens. Documenteer de methode en de basis voor de anonimiseringbepaling.
Voor gegevens die profiteren van gecontroleerde omkeerbaarheid (onderzoek met hercontactvereisten, auditsporen, ontdekkingsverplichtingen): expliciet classificeren als gepseudonimiseerde persoonlijke gegevens, alle GDPR-verplichtingen handhaven, de bewaring van de pseudonimisering sleutel documenteren volgens de vereisten voor sleutel scheiding van de EDPB.
Het expliciete vijf-methoden kader — Vervangen, Redigeren, Maskeren, Hashen, Versleutelen — sluit direct aan op deze classificatie: Vervangen, Maskeren en Versleutelen produceren gepseudonimiseerde gegevens (GDPR blijft van toepassing). Redigeren en Hashen (van high-entropy gegevens) benaderen echte anonimisering (onderhevig aan volledigheid en entropie-analyse).
Bronnen: