feb 4, 2025 | Nieuws
Arresten van het Hof van Justitie van de Europese Unie (HvJEU) en de EDPB Guidelines
De European Data Protection Board (EDPB) heeft recent de concept guidelines on pseudonymisation (01/2025) gepubliceerd. In dit nieuwsbericht analyseren we eerdere arresten over pseudonimiseren versus anonimiseren en vergelijken we deze met de nieuwe Guideline.
EDPB Guidelines strenger dan het HvJEU?
Bij de analyse van de arresten van het HvJEU en de EDPB guidelines valt op dat de EDPB nog niet meegaat in de concretere (norm)uitleg van anonieme versus pseudonieme gegevens. Het HvJEU deed uitspraak in het Breyer-arrest (C-582/14) en het EDPS vs. SAG/Deloitte-arrest (T-557/20), waarvan het hoger beroep nog loopt. Het HvJEU legt – bij de beoordeling of gepseudonimiseerde gegevens anoniem zijn – de nadruk op de middelen die voor de ontvanger van de gepseudonimiseerde data redelijkerwijs en praktisch beschikbaar zijn om te kunnen herleiden. De Privacy Company gaf reeds een heldere analyse van de afwegingen in dit arrest omtrent gepseudonimiseerde data. De EDPB lijkt echter strengere eisen te stellen en dit creëert een hogere drempel.
De visie van de EDPB
De EDPB stelt dat voor de beoordeling gekeken moet worden naar de middelen die redelijkerwijs door de verwerkingsverantwoordelijke of een andere persoon gebruikt kunnen worden. Zelfs als alle informatie die door de pseudonimiserende verantwoordelijke wordt bewaard is gewist, zijn de gepseudonimiseerde gegevens niet per definitie anoniem. Opvallend is dat de EDPB geen nadruk legt op wettelijke en praktische middelen en de positie van de ontvanger.
Wat betekent dit in de praktijk?
Met de publicatie van nieuwe concept guidelines dreigt de EDPB een onwenselijke situatie te creëren. Het verschil in uitleg door toezichthouders en rechtspraak met betrekking tot het al dan niet anoniem verwerken van gepseudonimiseerde gegevens kan leiden tot rechtsonzekerheid. Is de ontvangen data nu anoniem of niet? Moeten zij voldoen aan de eisen van de Algemene Verordening Gegevensbescherming? Ook ontstaat er onduidelijkheid voor betrokkenen over wanneer en waar zij hun rechten kunnen uitoefenen.
ZorgTTP biedt een oplossing
In de situatie van SAG/Deloitte had, zelfs met de striktere eisen van de guidelines, de onomkeerbare pseudonimisatiedienstverlening van ZorgTTP kunnen zorgen voor een anonieme dataset. ZorgTTP levert onomkeerbare pseudoniemen. De kracht van deze pseudoniemen is dat er geen weg terug is naar de oorspronkelijke input. Door afspraken te maken over het verwijderen van het sleutelmateriaal waarmee het pseudonimisatiedomein is aangemaakt kan de weg terug naar de identificerende gegevens aantoonbaar onmogelijk worden gemaakt.
Het arrest benadrukt overigens de noodzaak voor SAG om terug te kunnen naar de identiteit na het advies van Deloitte voor auditdoeleinden. Dit was echter niet nodig geweest met een goed vastgelegde audittrail. Door de dubbele en onomkeerbare pseudonimisatie door ZorgTTP was identificatie onmogelijk geweest.
De visie van ZorgTTP
ZorgTTP benadrukt dat voorzichtigheid geboden is bij het bestempelen van een dataset als ‘anoniem’. De anonimiteit van een dataset wordt niet alleen bepaald door de kracht van de pseudoniemen. Het is ook zaak om naar de overige verwerkte gegevens te kijken. Juist voor die gegevens is het in de praktijk heel lastig om ze zodanig te verwerken dat ze enerzijds bruikbaar blijven en anderzijds niet herleidbaarheid zijn. Indirecte identificatie van een betrokkene kan dan niet worden uitgesloten. Een pseudoniem maakt de dataset niet automatisch anoniem; dit hangt af van de omstandigheden van het geval.
Heeft u vragen over versleutelen, pseudonimiseren of anonimiseren passend bij uw privacyvraagstuk? Onze adviseurs helpen u graag verder
dec 13, 2024 | Nieuws
Partnership voor synthetische data
“Specifieke antwoorden in plaats van een generiek verhaal”
ZorgTTP en BlueGen.ai gaan intensief samenwerken op het gebied van synthetische data. Hans van Vlaanderen (directeur ZorgTTP) en Iman Alipour (CEO BlueGen.ai) leggen uit wat synthetische data is, waarom ze gaan samenwerken, hoe de samenwerking eruitziet en wat klanten hiervan merken.
Wat is synthetische data?
Bij synthetische data wordt op basis van bestaande gegevens een nieuwe dataset gemaakt. Die ziet er hetzelfde uit, heeft dezelfde statistische eigenschappen, maar bevat geen persoonlijke gegevens. Dat geeft veel klanten de mogelijkheid om veel meer datagedreven te gaan werken. Zonder dat je je druk hoeft te maken over het beschermen van gegevens.
Waarom deze partnership?
Hans: “We zien dat klanten bezig zijn met een aantal nieuwe Privacy Enhancing Technologies (PET’s), waaronder synthetische data. Opdrachtgevers zijn nieuwsgierig en geïnteresseerd in deze nieuwe technieken. Het is onze ambitie klanten de best passende techniek beschikbaar te stellen. Dat is onze gidsrol op het gebied van PET’s. We hebben partners gezocht die een specifieke expertise hebben. Afhankelijk van de vraag van de klant stellen we een gelegenheidscombinatie van partners samen. Op het gebied van synthetische data gaan we een innige samenwerking aan met BlueGen.ai.”
Iman: “Voor ons is het erg waardevol dat ZorgTTP een Trusted Advisor is op het gebied van data en privacy. Ze hebben de marktexpertise en domeinkennis om goed te achterhalen wat het probleem van de klant is. En vinden daar ook de juiste oplossing voor. Wij brengen de expertise van de technologie in. Dat zien wij als de kracht van deze samenwerking.”
Hoe ziet samenwerking eruit?
Hans: “We leggen bij zowel bestaande als potentiële opdrachtgevers een gezamenlijke propositie neer. Concreet betekent dit bijvoorbeeld dat we met meerdere Nederlandse gemeenten in gesprek zijn. We kijken met een vrij brede blik hoe we voor een aantal vraagstukken de privacy op een passende manier kunnen waarborgen. Als we zien dat voor een specifieke informatiestroom het synthetiseren van data een passende maatregel lijkt, dan kloppen we aan bij BlueGen.ai.”
Iman: “Ik denk dat een aantal klanten van ZorgTTP nieuwsgierig is naar deze oplossingen. Ze zijn benieuwd hoe ze synthetische data kunnen toepassen. ZorgTTP en BlueGen.ai kunnen nu samen optrekken om te laten zien wat je ermee kunt doen. We proberen met verschillende use cases tastbaar verhaal neer te zetten.”
Wat hebben klanten eraan?
Hans: “De combinatie ZorgTTP en BlueGen.ai biedt klanten opties om doelen te bereiken. In het proces waarin we van ruwe data een informatieproduct maken, kun je op meerdere plekken een specifieke techniek inzetten. Wij zorgen dat klanten niet voor elke afzonderlijke techniek een partner moeten zoeken. Wij bieden een geïntegreerd model waarmee we gezamenlijk klanten ontzorgen.”
Iman: “Wij hebben al een aantal use cases uitgewerkt zodat we kunnen laten zien wat synthetiseren van data betekent voor de dagelijkse praktijk. Zo maken we de vertaalslag en geven een specifiek antwoord in plaats van een generiek verhaal. Ik denk dat dit de grootste waarde is van deze samenwerking.”
Benieuwd wat deze samenwerking voor jouw organisatie kan betekenen? We komen graag langs met concrete en relevante use cases.
sep 27, 2024 | Nieuws
ZorgTTP zet zich als dienstverlener in voor de optimale balans tussen dataveiligheid en gebruiksvriendelijkheid van haar software. Ongeveer 2.000 individuen in Nederland maken momenteel gebruik van ZorgTTP diensten om gegevens te versleutelen voor onderzoeks- of beleidsdoeleinden, of deden dat in het afgelopen jaar. Daarvoor gebruiken zij een wachtwoord. Gemiddeld hebben personen ongeveer 100 wachtwoorden. Dat bleek uit een onderzoek in 2020 door Techradar (1). Dit is significant toegenomen met het hybride werken en mogelijk nog meer anno 2024.
De ZorgTTP software vereist ook een wachtwoord om het te kunnen gebruiken. Welk wachtwoord kies je daar dan voor? Het is moeilijk om al die wachtwoorden te onthouden. Bovendien bevatten zelfbedachte wachtwoorden vaak een hoge mate van voorspelbaarheid. Sommige mensen gebruiken gemakkelijk te onthouden wachtwoorden, terwijl anderen één complex wachtwoord hebben voor al hun accounts. Dat is een mooi doelwit voor criminelen die gebruikersgegevens willen stelen. In 2022 gaf 3,6% van de Nederlanders (>15 jaar) aan slachtoffer te zijn geweest van het hacken van een account. Meestal gaat het om een social media of email account. Bij 12,9% daarvan heeft de dader het wachtwoord achterhaald en bij 5,5% is dit geraden. Dat zijn 35.244 geraden wachtwoorden! (2)
Daarom promoot ZorgTTP het gebruik van wachtwoord managers voor de opslag én het genereren van alle wachtwoorden. Zowel persoonlijk als zakelijk. Als je eenmaal een wachtwoordmanager gebruikt, is er geen enkele reden meer om eenvoudige wachtwoorden te gebruiken. En het is niet meer nodig om al die wachtwoorden te proberen te onthouden. Wat een bevrijding en voordeel levert dat op. Op deze wijze zetten we gezamenlijk een kleine stap naar een veilige informatiesamenleving.
Een wachtwoordmanager is een digitale kluis. Daarin kun je de gebruikersgegevens opslaan en wachtwoorden genereren voor al je accounts, zowel privé als werk-gerelateerd. Een wachtwoordmanager kan online – en dus vanuit meerdere apparaten – benaderbaar zijn. Maar je kunt dit ook lokaal bewaren op een specifiek apparaat. De applicatie kan worden geïntegreerd met een browser of een OS. Er zijn diverse aanbieders op de markt, zowel gratis als tegen betaling. Zo zijn er de applicaties Bitwarden (open source en gratis), Passbolt (open source), KeePass, Dashlane en 1Password.
Het is niet meer nodig om tal van wachtwoorden te onthouden met allerlei variaties; maar slechts één. Met een wachtwoordmanager hoef je enkel het hoofdwachtwoord van de kluis in te voeren. Dit dient uiteraard een sterk wachtwoord te zijn. En daarbij dient voorspelbare, voor de hand liggende en algemeen bekende informatie te worden vermeden. De applicatie dient als hulpmiddel om nieuwe wachtwoorden voor accounts te genereren. Dit zijn willekeurig samengestelde wachtwoorden. Bij het inloggen in één van je accounts kunnen de gebruikersgegevens automatisch worden ingevuld door de wachtwoordmanager. Er zijn ook functies om zakelijke wachtwoorden te delen onder collega’s. Het gebruik van een wachtwoordmanager past binnen het beleid van veel organisaties.
Een wachtwoordmanager maakt je leven dus makkelijker en veiliger. Wij adviseren daarom aan alle gebruikers van onze software om dit in gebruik te nemen. Wellicht stond het al op de to-do lijst. We begrijpen heel goed dat zo’n vertrouwde aanpak veranderen niet 1-2-3 is geregeld en dat de kostbare tijd met name gaat naar het runnen van je onderneming of verlenen van goede zorg aan patiënten. En juist daarom … Als de stap eenmaal is gezet naar een wachtwoordmanager, zal dat direct overzicht brengen en zorgen besparen.
(1)
(2)
aug 29, 2024 | Encryptie, Nieuws
Op woensdag 28 augustus is de TRES server vervangen door een nieuw exemplaar. Deze vervanging is zonder problemen uitgevoerd.
De nieuwe server biedt een hoger beveiligingsniveau door onder andere TLS 1.3 aan te bieden met een selectie aan sterkere versleutelingsalgoritmen en een grotere sleutellengte voor het gebruikte verbindingscertificaat.
Ondanks dat het volledig getest is kunnen er door het verhoogde beveiligingsniveau onverwachtse problemen optreden tijdens het gebruik van TRES. In dat geval kunt u contact opnemen met de servicedesk van ZorgTTP (030-63 60 649).
We zullen de aankomende tijd extra klaar staan om eventuele problemen zo snel mogelijk te verhelpen.
