Dictionary

Anonimisering en pseudonimisering

Anonimisering maakt data redelijkerwijs niet meer herleidbaar tot een persoon, waardoor de GDPR niet meer van toepassing is. Pseudonimisering vervangt identificatoren door codes, maar er bestaat een sleutel om terug te herleiden: de data blijft dus persoonsgegevens. Dat verschil bepaalt wat je mag met testdata, rapporten en gedeelde datasets.

Wat betekenen anonimisering en pseudonimisering?

Beide technieken maken data minder herleidbaar tot echte personen, maar ze doen dat op een heel andere manier. Bij pseudonimisering vervang je identificatoren zoals namen of klantnummers door codes, terwijl er ergens een sleutel of methode bestaat om de koppeling te herstellen. Bij anonimisering bewerk je de data zo grondig dat niemand, ook jij niet, ze redelijkerwijs nog aan een persoon kan koppelen.

Denk aan een kluis: bij pseudonimisering ligt de sleutel op een andere plek, maar hij bestaat. Bij anonimisering is er geen sleutel meer, en ook geen slot om te forceren.

Dat onderscheid komt rechtstreeks uit de GDPR. Artikel 4(5) definieert pseudonimisering als het verwerken van persoonsgegevens zodat ze niet meer aan een specifieke persoon te koppelen zijn zonder aanvullende informatie, die apart bewaard en beveiligd moet worden. Overweging 26 zegt vervolgens twee dingen: gepseudonimiseerde data blijft persoonsgegevens, en op echt anonieme informatie is de verordening niet van toepassing.

Anonimisering versus pseudonimisering

Juridische status. Dit is het verschil dat het zwaarst doorweegt. Anonieme data valt buiten de GDPR: geen rechtsgrond nodig voor verder gebruik, geen bewaartermijnen, geen inzagerechten. Gepseudonimiseerde data blijft volwaardig persoonsgegevens, met alle verplichtingen die daarbij horen. Let wel: het anonimiseren zelf is nog een verwerking van persoonsgegevens, dus voor die stap heb je wel een doel en een rechtsgrond nodig.

Omkeerbaarheid. Pseudonimisering is bewust omkeerbaar: de sleutel bestaat, zodat je bijvoorbeeld een klant kan terugvinden als die zijn gegevens wil laten verwijderen. Anonimisering moet standhouden tegen iedereen, ook tegen jezelf. Overweging 26 legt de lat op alle middelen die redelijkerwijs te verwachten zijn om iemand te identificeren, rekening houdend met kost, tijd en de beschikbare technologie.

Bruikbaarheid. Gepseudonimiseerde data blijft analytisch rijk: je kan records over de tijd volgen, tabellen aan elkaar koppelen en later terugkeren naar het individuele geval. Anonimiseren kost detail, want je moet vervagen, groeperen of weglaten tot herleiding niet meer lukt. Hoe anoniemer de data, hoe minder vragen je er nog mee kan beantwoorden.

Wanneer is data echt anoniem?

Veel datasets die intern 'geanonimiseerd' heten, zijn dat bij nader inzien niet. Twee mechanismen halen dat label onderuit.

Het eerste is toetsbaarheid. Een gehasht rijksregisternummer ziet eruit als willekeurige tekens, maar rijksregisternummers volgen een gekend formaat. Wie het hashalgoritme kent, kan alle mogelijke nummers hashen en vergelijken met jouw dataset, en zo de koppeling herstellen. Daarom behandelen Europese toezichthouders zoals de Spaanse AEPD en de EDPS hashing als een pseudonimiseringstechniek, niet als anonimisering: het heridentificatierisico van gehashte data blijft bestaan.

Het tweede is koppeling. Haal de namen uit een dataset maar laat geboortedatum, postcode en geslacht staan, en die combinatie wijst vaak nog maar naar één persoon. Leg er een tweede bron naast met dezelfde velden, een ledenlijst of een publiek register, en de 'anonieme' records krijgen hun naam terug. Precies daarom telt overweging 26 ook identificatie door derden mee, niet alleen wat jij zelf kan.

Technieken om te anonimiseren of pseudonimiseren

In de praktijk combineer je meestal meerdere bewerkingen:

  • Verwijderen. Kolommen die je niet nodig hebt, gooi je weg. De simpelste en veiligste ingreep.

  • Maskeren. Je vervangt waarden door sterretjes of fictieve waarden, bijvoorbeeld in testdatabases waar het formaat moet kloppen en de inhoud niet.

  • Generaliseren. Je maakt waarden grover: een leeftijdscategorie in plaats van een geboortedatum, een gemeente in plaats van een adres.

  • Aggregeren. Je rapporteert alleen totalen en gemiddelden per groep, zonder individuele rijen. Kleine groepen blijven een risico: een gemiddelde over twee personen verklapt bijna alles.

  • Hashen of tokeniseren. Je vervangt een identificator door een code, zodat je records wel kan koppelen maar de identiteit niet zichtbaar is. Zoals hierboven beschreven is dit vrijwel altijd pseudonimisering.

Geen enkele techniek is op zich anonimisering of pseudonimisering. Het resultaat hangt af van de hele dataset en de context: welke velden blijven staan, welke andere data bestaat er, wie krijgt toegang.

Anonimisering en pseudonimisering in je datastack

Drie situaties komen in bijna elke organisatie terug.

Testdata. Ontwikkelaars hebben realistische data nodig, geen echte klanten. Een gemaskeerde of gepseudonimiseerde kopie van productie volstaat meestal, zolang die kopie even goed beveiligd blijft als het origineel.

Rapporten. Een dashboard met omzet per regio heeft geen namen nodig. Aggregeer aan de bron en het rapport bevat gewoon geen persoonsgegevens meer.

Data delen met derden. Een onderzoekspartner of leverancier krijgt liefst een versie waar zo weinig mogelijk herleidbaars in zit, afgestemd op wat die partij echt nodig heeft.

De GDPR moedigt pseudonimisering bovendien actief aan als beveiligingsmaatregel, zowel bij gegevensbescherming door ontwerp (artikel 25) als bij de beveiliging van de verwerking (artikel 32). De Europese toezichthouders, verenigd in de EDPB, keurden begin 2025 richtsnoeren over pseudonimisering goed: wie pseudonimiseert, verkleint het risico voor betrokkenen en staat sterker bij bijvoorbeeld een datalek.

Er bestaat nog een derde spoor: synthetische data. Daarbij bewerk je geen echte records, maar genereer je nieuwe die statistisch op het geheel lijken. Interessant wanneer de patronen volstaan, al moet je ook daar het heridentificatierisico beoordelen voor je het resultaat als anoniem behandelt.

Welk niveau volstaat, volgt uit wie de data krijgt en wat die ermee moet doen. Blijft de data binnen je organisatie en moet je records kunnen koppelen of terug herleiden, dan is pseudonimisering het werkbare niveau. Gaat de data naar buiten of publiceer je ze, dan mik je op aggregatie of echte anonimisering.

Waar moet je op letten bij het gebruik van anonimisering en pseudonimisering

Anonimiteit is een lat die opschuift. De toets uit overweging 26 kijkt naar de technologie en de data die vandaag beschikbaar zijn. Elke nieuwe publieke dataset en elke sprong in rekenkracht maakt koppelen makkelijker, dus een dataset die tien jaar geleden veilig anoniem was, is dat nu misschien niet meer. Herbekijk je beoordeling geregeld in plaats van ze één keer af te vinken.

Documenteer je methode. Noteer welke velden je bewerkte, met welke techniek, en waarom je het restrisico aanvaardbaar vindt. De GDPR verwacht dat je keuzes kan verantwoorden, en bij een discussie met een toezichthouder of klant maakt die documentatie het verschil.

Test op heridentificatie. Probeer zelf, of laat iemand proberen, om personen in je 'anonieme' dataset terug te vinden met realistische middelen: koppeling met publieke bronnen, toetsing van gehashte waarden, uitzonderlijke records die eruit springen. Vind je iemand terug, dan is de dataset pseudoniem en behandel je ze zo.

Bewaar de sleutel echt apart. Een koppeltabel in dezelfde database met dezelfde toegangsrechten voldoet niet aan artikel 4(5). Zet de sleutel in een aparte omgeving met eigen toegangscontrole, en beperk wie erbij kan.

FAQ over anonimisering en pseudonimisering

1. Is gepseudonimiseerde data nog persoonsgegevens?
Ja. Zolang er ergens aanvullende informatie bestaat waarmee de data aan een persoon te koppelen valt, blijft de GDPR volledig van toepassing. Dat staat letterlijk in overweging 26.

2. Is het hashen van een e-mailadres of rijksregisternummer anonimiseren?
Meestal niet. Omdat de mogelijke invoerwaarden gekend zijn, kan iemand ze allemaal hashen en vergelijken. Europese toezichthouders beschouwen hashing daarom als pseudonimisering.

3. Valt het anonimiseren zelf onder de GDPR?
Ja. Je vertrekt van persoonsgegevens, en die bewerking is een verwerking waarvoor je een doel en een rechtsgrond nodig hebt. Pas het resultaat, als het echt anoniem is, valt buiten de verordening.

4. Wat is het verschil met synthetische data?
Anonimiseren en pseudonimiseren bewerken je echte records. Synthetische data vervangt ze door nieuw gegenereerde records die statistisch op het geheel lijken. Elk spoor heeft een eigen risicoprofiel, dus de keuze hangt af van wat je met de data wil doen.

Laatst Bijgewerkt: July 3, 2026 Terug naar Woordenboek
Trefwoorden
anonimisering pseudonimisering anonimiseren pseudonimiseren gdpr avg persoonsgegevens privacy synthetische data data governance datakwaliteit row level security