Er worden steeds meer persoonsgegevens verwerkt, die op een afdoende manier beschermd moeten worden. Vaak volstaan de genomen veiligheidsmaatregelen niet en lezen we in de pers over alweer een ‘data breach’, of over het niet-respecteren van de privacy. Cryptografische pseudoniemen zijn een relatief weinig bekende technologie die misbruik een stuk moeilijker maakt en die helpt om te voldoen aan de GDPR.
De GDPR spreekt nadrukkelijk over ‘pseudonimisatie’ als een mogelijke maatregel om persoonsgegevens te beschermen. De techniek past in het privacy-by-design-principe dat in de Europese verordening gepromoot wordt. In artikel 32 lezen we bijvoorbeeld: “Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: a) de pseudonimisering en versleuteling van persoonsgegevens, b)…”.
De GDPR spreekt over ‘pseudonimisatie’ als een mogelijke maatregel om persoonsgegevens te beschermen.
In artikel 89 van de GDPR lezen we: “De verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden is onderworpen aan passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden van de betrokkene. Die waarborgen zorgen ervoor dat er technische en organisatorische maatregelen zijn getroffen om de inachtneming van het beginsel van minimale gegevensverwerking te garanderen. Deze maatregelen kunnen pseudonimisering omvatten, mits aldus die doeleinden in kwestie kunnen worden verwezenlijkt. Wanneer die doeleinden kunnen worden verwezenlijkt door verdere verwerking die de identificatie van betrokkenen niet of niet langer toelaat, moeten zij aldus worden verwezenlijkt.”
Wat is pseudonimisering?
Pseudonimisering betekent dat persoonsgegevens niet langer rechtstreeks kunnen worden gekoppeld aan een natuurlijk persoon, bijvoorbeeld via een identificatiesleutel zoals het rijksregisternummer, maar enkel met behulp van bijkomende informatie die ergens apart bewaard wordt. Pseudonieme persoonsgegevens zijn een nieuwe categorie gegevens in de privacywetgeving.
Het idee van pseudonimisering is dat eenzelfde burger in elke context slechts gekend is onder een context-specifiek pseudoniem. Persoonsgegevens uit de ene context zijn dus niet zomaar te koppelen aan gegevens over dezelfde persoon in een andere context, of aan de natuurlijke persoon zelf. Dat maakt misbruik een pak moeilijker. Een context kan echter heel wat betekenen, zoals blijkt uit onderstaande voorbeelden.
- Online leerplatformen: Scholen maken steeds vaker gebruik van online leerplatformen, waar de leerlingen allerlei lesmateriaal ter beschikking krijgen, huiswerk maken en testen afleggen. Deze data kan commercieel erg waardevol zijn, zowel voor de aanbieder van het platform als voor hackers, zeker als het te koppelen is aan andere informatie over de scholier. Mogelijks bevat het profiel van de leerling medische – en dus erg gevoelige – informatie. Een leerling kan bijvoorbeeld meer tijd krijgen voor een online test omwille van dyslexie.
De school zelf moet de leerling natuurlijk wel kunnen identificeren, maar er is geen enkele reden waarom ook het online leerplatform dit moet kunnen. We willen niet dat zo’n platform over de jaren en vakken heen een erg uitgebreid profiel aan elke individuele leerling kan koppelen. Per jaar en per vak zou een leerling door het platform slechts gekend kunnen zijn onder een apart pseudoniem, terwijl alleen de school in staat is om de pseudoniemen van elke scholier aan elkaar te koppelen. De context is hier dus een vak tijdens een bepaald schooljaar.
- Wetenschappelijk onderzoek: Voor onderzoek is er vaak nood aan een – rijk of minder rijk – gegevensbestand met bijvoorbeeld medische gegevens van burgers. De context komt hier overeen met een specifiek onderzoek. Zelfs indien de wetenschappers (of hackers) zouden willen, zijn ze niet in staat om op basis van het pseudoniem meerdere onderzoeken van eenzelfde persoon aan elkaar te koppelen, of aan publiek beschikbare gegevens over de burger.
- Data warehouse: Zowat elke overheidsinstelling beheert persoonsgegevens – denk aan pensioenrechten, medische, professionele of fiscale informatie. Om zinvolle analyses te doen, moeten vaak gegevens afkomstig uit meerdere bronnen worden gekruist (gecombineerd) – vanuit overheidsinstellingen, medische sensoren…
Om praktische redenen zou een overheid kunnen kiezen voor een data warehouse dat al deze persoonsgegevens samenbrengt, en ze eventueel ter beschikking stelt voor analyses of wetenschappelijk onderzoek (zie vorige). Een wetenschapper krijgt uiteraard enkel toegang tot gegevens die strikt noodzakelijk zijn voor het onderzoek in kwestie. Maar wanneer in het data warehouse alle gegevens van een burger triviaal aan elkaar en aan de ware identiteit te koppelen zijn – bijvoorbeeld via het rijksregisternummer – dan ontstaat er een onaanvaardbaar groot privacy-risico.
Wanneer alle gegevens van een burger triviaal aan elkaar en aan de ware identiteit te koppelen zijn, ontstaat er een onaanvaardbaar groot privacy-risico.
We kunnen hier kiezen om de gegevens van eenzelfde burger te verspreiden over verschillende compartimenten in het data warehouse. In één compartiment kunnen fiscale gegevens bewaard worden, in een ander de basisgegevens zoals geboortedatum, geslacht en woonplaats. In elk van die compartimenten is de burger gekend onder een ander pseudoniem. Slechts met medewerking van de organisaties of bedrijven die de data aanleveren, kunnen bepaalde gegevens worden gekoppeld. Elk compartiment is dan een afzonderlijke ‘context’. Het profiel van een burger wordt in stukjes gebroken, die quasi onmogelijk in elkaar te passen zijn voor onbevoegden. Bovendien zijn kleinere stukjes sowieso moeilijker aan een natuurlijk persoon te koppelen dan grotere stukken data.
Succesvolle proefprojecten
Bovenstaande toepassingen in de praktijk brengen, wordt al snel vrij omslachtig wanneer gebruik gemaakt wordt van traditionele pseudonimisatietechnieken – dus op basis van willekeurig gegenereerde pseudoniemen, cryptografische hashing of (symmetrische of asymmetrische) cryptografische vercijfering. Daarom wordt het best gekeken naar meer geavanceerde cryptografische pseudoniem-technieken. Deze technieken zijn vrij jong en vandaag nog te weinig gekend, maar maken een onwaarschijnlijke flexibiliteit en bescherming mogelijk.
Smals Research heeft in 2015 als één van de eersten een dergelijk cryptografisch pseudoniemsysteem ontwikkeld en succesvol toegepast in een proof of concept. Ondertussen publiceerden onder meer de Radboud Universiteit van Nijmegen en het onderzoekslab van IBM in Zürich erg waardevolle bijdragen, de eerste op een meer praktisch, de tweede op een meer theoretisch niveau.
Het idee dat telkens terugkomt is dat een natuurlijk persoon in elke context gekend staat onder een ander pseudoniem. Met een geheime sleutel worden de rijksregisternummers omgezet in pseudoniemen, die eventueel op hun beurt weer omgezet worden in andere pseudoniemen. De operatie kan dus transitief zijn. Twee verschillende pseudoniemen van eenzelfde persoon kunnen eventueel met de juiste sleutels na hun respectievelijke conversies resulteren in één en hetzelfde pseudoniem. Daardoor kunnen de bijhorende data onder bepaalde voorwaarden aan elkaar gekoppeld worden, zonder te weten over welke natuurlijke persoon het gaat. Eventueel kan een derde partij het pseudoniem, bijvoorbeeld na akkoord van de gegevensbeschermingsautoriteit (GBA), opnieuw koppelen aan het oorspronkelijke rijksregisternummer. Bovendien kunnen dergelijke systemen transparantie bieden aan de betrokken burger – en enkel aan hem/haar.
Een natuurlijk persoon staat in elke context gekend onder een ander pseudoniem.
De Radboud Universiteit heeft samen met de Nederlandse provincie Gelderland reeds een onderzoeksproject opgezet met een budget van 1,6 miljoen euro. Het project gaat specifiek over het op een privacy-vriendelijke wijze uitwisselen van medische gegevens voor onderzoeksdoeleinden. Er werd reeds succesvol een concrete piloot opgezet, waarbij 650 Parkinson-patiënten over een periode van 2 jaar gevolgd worden en waarbij allerlei gegevens aangeleverd worden via draagbare toestellen (wearable devices). Bovendien zou het gebruikte pseudoniem- en encryptiesysteem mogelijk ondersteund worden door de toekomstige Nederlandse eID-kaart.
In al deze voorbeelden heeft de betrokken burger zelf geen controle over wat er met zijn rijksregisternummer en pseudoniemen gebeurt. Er zijn echter andere systemen – Attribute-based credentials – waarbij de pseudoniemen onder de controle van de burger zelf blijven. De burger kan dan zelf beslissen om zich tegenover verschillende entiteiten kenbaar te maken onder verschillende, onlinkbare pseudoniemen, eventueel gekoppeld aan gecertifieerde persoonsgegevens zoals diens leeftijd.
Samengevat bieden cryptografische pseudoniemen een krachtig instrument om persoonsgegevens, en daarmee ook de privacy van de betrokkenen, beter te beveiligen. Het is niet enkel een nuttig, maar op termijn noodzakelijk instrument om toepassingen in overeenstemming te brengen met de GDPR.
Dit is een ingezonden bijdrage van Kristof Verslype,van Smals Research. Via deze link vind je meer informatie over de het onderzoek van de organisatie. Dit artikel werd geschreven in eigen naam en neemt geen standpunt in namens Smals.