Anonimiseren van persoonsgegevens moet sneller (en dit is waarom)
Als je bij een overheidsorganisatie werkt, is de kans groot dat je elke dag ontelbare gevoelige data door je handen laat gaan. We hebben het dan over de meest gevoelige gegevens van allemaal: persoonsgegevens. Het is jouw verantwoordelijkheid om deze data te beschermen en anonimisering speelt daarin een glansrol. Tijd om alle informatie rondom dit onderwerp op een rijtje te zetten. Sinds de AVG in 2018 van toepassing is geworden, speelt het beschermen van persoonsgegevens bij alle organisaties een rol. En welke organisaties hebben meer persoonlijke data dan wie dan ook in hun beheer? Juist, overheidsorganisaties. En nu het dilemma: mede door de roep om een transparant bestuur zijn het dezelfde overheidsorganisaties die steeds meer documenten delen met de buitenwereld. Documenten waarin allerlei persoonsgegevens staan, van iemands naam en adres tot diens telefoonnummer en pasfoto. Anonimisering van al die gegevens levert uitdagingen op. Maar voordat we dieper op deze obstakels ingaan, laten we zien waarom het thema anonimisering actueler is dan ooit.
Woo: proactief publiceren = proactief anonimiseren
Sinds 1 november 2024 moeten gemeenten en andere overheidsorganisaties de eerste vijf informatiecategorieën uit de wet Open overheid (Woo) actief openbaarmaken. De nieuwe wet vervangt de Wet openbaarheid van bestuur (Wob), een eerdere wet die de openbaarmaking van overheidsstukken regelde. Het grote verschil tussen de twee wetten: waar burgers in het verleden zelf een verzoek om openbaarmaking moesten indienen (het zogeheten ‘wobben’), verplicht de Woo overheidsorganisaties om actief informatie te publiceren.
Terwijl de verplichting voor actief openbaarmaken nog niet eens is ingegaan, zien we dat alleen al de informatieverzoeken vanuit het publiek moeilijk zijn te bolwerken. Immers, het is een tijdrovende en kostbare taak om bergen documenten na te zoeken op persoonsgegevens en die vervolgens te anonimiseren.
2. Wep: géén persoonsgegevens ter inzage
Vorig jaar trad een arbeidsintensieve verplichting uit de Wet elektronische publicaties (Wep) in werking. De wet uit 2021 verplicht overheidsorganisaties om inwoners via digitale middelen op de hoogte te houden over besluiten die impact hebben op hun leefomgeving. Voor een groot deel gaat dit om de officiële bekendmakingen die vroeger in het huis-aan-huisblad werden gezet. Maar sinds 1 juli 2023 moeten documenten die ter kennisgeving of mededeling kunnen worden ingezien, ook digitaal ter inzage worden gelegd.
Het kan dan bijvoorbeeld gaan om aanvraagformulieren en documenten die een aanvraag beschrijven, zoals een bouwtekening of uitgebracht advies. Omdat persoonsgegevens of vertrouwelijke bedrijfsinformatie uiteraard niet op straat mogen belanden, is anonimisering ook hier een thema.
3. Onderzoek, maar wel binnen de AVG graag
Er is steeds meer informatie online te vinden en overheidsorganisaties kijken graag mee om daar hun beleid op af te stemmen, of zelfs dreigingen voor de openbare orde te signaleren. Veel van dit onderzoek wordt gedaan met monitoringtools. Dat deze hulpmiddelen gevoelige gegevens rondom afkomst, politieke opvattingen, godsdienst, gezondheid of iemands seksuele leven oppikken, is bij dit soort onderzoek niet te voorkomen. Wél is te voorkomen dat deze informatie een eigen leven gaat leiden. Makers van rapportages – ook voor intern gebruik – moeten alle gegevens die te herleiden zijn tot personen, anonimiseren.
Eenzelfde soort uitdaging doet zich voor bij ander onderzoek dat overheidsorganisaties uitvoeren, bijvoorbeeld door middel van een enquête. Ook hier komen tal van gevoelige gegevens aan bod: over politiek, godsdienst, seksualiteit en meer. Zeker wanneer deze gegevens gekoppeld zijn aan een naam is hier voorzichtigheid geboden, maar ook een IP-adres kan een persoonsgegeven zijn. Het minste risico op datalekken loop je wanneer je gegevens, waar mogelijk, al zo vroeg mogelijk in het proces anonimiseert.
Persoonsgegevens anonimiseren: hoe dan?
Op allerlei fronten moet je dus aan de slag met anonimisering. Bij de aantallen documenten waarover we het hebben, kan dat een behoorlijk bewerkelijke taak zijn. Tel daarbij op dat veel overheidsorganisaties nog niet beschikken over deugdelijke software om persoonsgegevens mee te zoeken en ze vervolgens efficiënt (en definitief) te anonimiseren.
Anonimiseren lijkt bovendien een simpel onderwerp, maar er zitten de nodige haken en ogen aan. Een greep uit de vragen waar je wellicht tegenaan zult lopen:
- Moet ik bedrijfsnamen anonimiseren? En gelden dezelfde regels voor eenmanszaken die vernoemd zijn naar de eigenaar?
- Valt een IP-adres onder persoonsgegevens? En het adres van een (persoonlijke) website?
- Wat te denken van publieke personen en persoonlijke beleidsopvattingen?
- Hoe houd ik het anonimiseringsproces bij in mijn verwerkingsregister?
- Moet ik een Data Protection Impact Assessment (DPIA) uitvoeren op het proces van anonimiseren?
- Moet ik ook gezichten en nummerborden op foto’s onherkenbaar maken (en zo ja, hoe doe ik dat)?
- Moet ik documenten ook anonimiseren als ik ze archiveer?
Software én expertise
Kortom, om documenten veilig en compliant te anonimiseren heb je enerzijds inhoudelijke expertise nodig en anderzijds een softwarematige oplossing die jou helpt grote batches documenten te anonimiseren. Bij xxllnc bieden we zowel de software als de kennis. Zo is xxllnc Publiceren een alles-in-één oplossing voor het veilig, efficiënt en transparant publiceren van (geanonimiseerde) documenten en dossiers naar landelijke platformen zoals de Woo-index.
Is het anonimiseren van een grote hoeveelheid documenten een te grote belasting voor je organisatie, dan kun je deze klus ook uitbesteden aan xxllnc. Anonimiseren as a Service noemen we dat.
We gaan graag met jou in gesprek over de knelpunten én mogelijkheden rondom anonimisering. Plan hier een afspraak in (of neem contact op met je accountmanager).
