Het gebruik, en hergebruik, van data en patiëntgegevens is al vele jaren niet meer weg te denken binnen de zorgsector. Voor het anoniem gebruiken van patiëntgegevens zijn regels opgesteld in de Algemene verordening gegevensbescherming (AVG). De AVG-Helpdesk constateert dat de interpretatie van die regels nogal eens tot misverstanden kunnen leiden, met name op het gebied van het anonimiseren van patiëntgegevens.
Misverstanden bij anonimiseren
Zorginstellingen en zorgverleners willen er nogal eens vanuit gaan dat het los van elkaar bewaren van gezondheids- en adresgegevens een goede manier is om met anomieme gegevens om te gaan. Dat kan echter gevaarlijk zijn, zo stelt de AVG-Helpdesk. Iemand kan de gegevens samenvoegen en daarmee de identiteit van de persoon achter de gegevens achterhalen. Die kan dus alsnog zien welke gezondheidsgegevens bij welk persoon horen. Wanneer de gegevens herleidbaar zijn tot een persoon, dan hebben we het over pseudonimiseren. Dat mag dus niet.
Het tweede veel voorkomende misverstand is de aanname dat het versleutelen van gegevens gelijk staat aan het anonimiseren van gegevens. Versleuteling, of encryptie is echter geen manier om gegevens te anonimiseren, maar puur een belangrijke manier om informatie te beveiligen. Versleutelde data is data die is gepseudonimiseerd. Door data te versleutelen kan iemand met de juiste inloggegevens (sleutel) wel bij de data komen of twee datasets aan elkaar koppelen. Het proces van ontsleutelen wordt decryptie genoemd. Iemand zonder de juiste sleutel kan niet bij de data komen.
De aanname dat data door anonimisering onbruikbaar wordt is het derde veel voorkomende misverstand dat de AVG-Helpdesk aanhaalt. Dat is echter niet juist. Wanneer het proces van anonimiseren goed is uitgevoerd en ervoor zorgt dat de data zijn doel behoudt, blijft de data bruikbaar. Het doel van anonimisering is voorkomen dat personen in een dataset worden geïdentificeerd (heridentificatie). Maar, soms is het wek zo dat anonimiseren er voor kan zorgen dat data minder bruikbaar wordt. Denk hierbij bijvoorbeeld aan het indelen van personen op leeftijd per 10 jaar. Door niet de precieze leeftijd te registreren wordt de kans op heridentificatie kleiner, maar wordt de data ook minder bruikbaar. Dit wil niet zeggen dat de gegevens nutteloos worden, maar dat het nut afhangt van het doel en het risico op heridentificatie.
Nog meer misverstanden
Naast deze drie misverstanden benoemt de AVG-Helpdesk nog een drietal voorbeelden. Zoals het misverstand dat eenmaal geanonimiseerde gegevens voor altijd anoniem blijven. Dat hangt echter af van technologische ontwikkelingen. De kans bestaat dat in de toekomst door nieuwe technische ontwikkelingen het mogelijk wordt om te achterhalen over wie anonieme gegevens gaan.
Ook is het een misvatting dat het gebruikmaken van de anonimiseringsprocessen van een andere zorgorganisatie bij de eigen zorgorganisatie tot dezelfde resultaten zal leiden. En, tot slot, het is absoluut niet juist om aan te nemen dat er geen personen (hackers) bestaan die geïnteresseerd zijn om erachter te komen op wie de geanonimiseerde gegevens betrekking hebben.
