Deze column stond in Het Financieele Dagblad van 17 mei 2018. Volg deze link voor mijn eerdere FD columns.
Op 25 mei staat de grootste juridische aardverschuiving in de datasamenleving op het programma. Dan vervangt de Europese Algemene Verordening Gegevensbescherming (AVG) de huidige Europese Richtlijn uit 1995. De media staan bol van de AVG en hoezeer data-intensieve organisaties, op zijn zachtst gezegd, ietwat zenuwachtig worden van de nieuwe verplichtingen rondom de eerste substantiële wetswijziging in 23 jaar. Toch biedt de AVG ook nieuwe kansen voor innovatieve data-analyse met behulp van een nog weinig gebruikte technologie: pseudonimisering.
De veelgehoorde en terechte kritiek op de AVG is dat de wet een hele batterij aan nieuwe en strengere verplichtingen introduceert, die vaak ook nog eens vaag zijn. De vaagheid in de AVG is vooral te wijten aan het politieke steekspel in de krochten van het Europese lobbycircus. Nooit eerder lanceerde het Europese Parlement meer dan 4000 (!) amendementen op een eerste wetstekst van de Europese Commissie. Dit lobbyrecord heeft geleid tot een omvangrijke en vrij rommelige wet, en toont daarnaast aan dat de economische en sociale belangen rondom de AVG en privacybescherming gigantisch zijn.
Maar de AVG is niet alleen kommer en kwel voor organisaties die grootse plannen hebben met data. De verordening biedt ook een opvallend weinig besproken, maar reusachtige nieuwe kans voor het hergebruiken van bestaande datasets voor nieuwe data-analyses, met behulp van de privacybeschermende techniek ‘pseudonimisering’. Die brengt mee dat je met behulp van versleuteling belangrijke persoonsgegevens (zoals naam en adres) vervangt door een nietszeggend pseudoniem (zoals de naam van een ster, dier of plant). De identificerende gegevens bewaar je apart. Met de gepseudonimiseerde dataset kun je vervolgens op geaggregeerd niveau analyses uitvoeren, die niet tot individuele personen herleidbaar zijn, en hoef je niet eerst toestemming te vragen van de klant op basis van de strenge vereisten van de AVG.
Drie weken terug berichtten The Economist en het FD over de pseudonimiseringsplannen van Rabobank. In samenwerking met IBM, heeft Rabobank het gehele klantenbestand in een aparte dataset geplaatst, waarin klantnamen zijn vervangen door plantnamen, adresgegevens voor diersoorten, en bestaande rekeningnummers zijn vervangen door fictieve IBAN. Rabobank gebruikt de gepseudonimiseerde dataset voor het testen van nieuwe betaaldiensten, big data analyses en systeemonderhoud. Bijkomende voordelen zijn dat Rabobank zo meteen voldoet aan de nieuwe en ietwat abstracte AVG-verplichting voor ‘privacy by design’. En dat, mocht de dataset onverhoopt lekken of gehackt worden, de gevolgen voor de gepseudonimiseerde klanten minimaal of zelfs verwaarloosbaar zijn. Volgens IBM is Rabobank een van de eerste klanten wereldwijd, maar tonen andere banken, ziekenhuizen en retailers inmiddels ook interesse.
Pseudonimisering is niet het wondermiddel tegen alle kwalen. De AVG blijft onverkort van kracht op de gepseudonimiseerde dataset en de apart bewaarde identificerende gegevens. Stel, je wilt op basis van de nieuw verkregen inzichten dezelfde klanten direct benaderen met geïndividualiseerde aanbiedingen, dan vereist de AVG doorgaans alsnog toestemming van de klant. Daarnaast gelden er strikte technische en organisatorische eisen ten aanzien van die apart bewaarde identificerende gegevens, zodat organisaties niet ‘zomaar’ tot re-identificatie zullen overgaan. Dat betekent ook dat je heldere en strenge afspraken maakt met IT-leveranciers, bijvoorbeeld over het up to date houden van de gebruikte technieken.
Volgens de berichtgeving heeft Rabobank acht jaar met IBM gewerkt aan de technologie, die onlangs pas snel genoeg werd om functioneel te zijn. Toevallig werden de eerste contouren van de AVG ook acht jaar geleden bekend. Rabobank was er dus vroeg bij en heeft flink moeten investeren om de eerste kinderziekten te overwinnen.
Nu de AVG in werking treedt en de technologieën blijkbaar volwassener worden, lijkt het moment voor data-intensieve bedrijven aangebroken om op de pseudonimiseringstrein te stappen. Zodra de mediastorm over de AVG is gaan liggen en Europese privacytoezichthouders vooral naleving van de wet nastreven, in plaats van recordboetes, zal de nervositeit over de AVG bedaren. Bovendien zal dan blijken dat de AVG met verantwoorde pseudonimisering organisaties juist rechtszekerheid en kansen biedt voor innovatieve data-analyse.