“Het mag niet van de AVG” is sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) in 2018 een nog steeds veelgehoorde uitspraak. En dat terwijl de AVG júíst is bedoeld om het gebruik van gegevens op een verantwoorde manier mogelijk te maken. Het gebruik van Privacy Enhancing Technologies (PETs) kan een oplossing bieden.

In dit blog zetten we een aantal veelvoorkomende problemen op een rij in het kader van het delen en hergebruik van persoonsgegevens. We behandelen de verschillende soorten PETs, hoe deze kunnen voorzien in passende maatregelen voor de genoemde problemen, en daarmee “stand van de techniek” oplossingen worden bij het verwerken van gegevens.

PMP organiseert in samenwerking met BlueGen.ai op 11 november een kennistafel over PETs. Tijdens deze sessie bespreken we de toepassingsmogelijkheden van verschillende PET-technologieën, maken we een verdiepingsslag op het gebruik van synthetische data en vertellen we hoe je een PET-traject kan opstarten. Meer informatie en de mogelijkheid tot aanmelden vind je onderaan de blog.

De knelpunten bij datadeling

Organisaties lopen vaak tegen drie problemen aan wanneer ze data willen delen of hergebruiken:

  1. Onduidelijk over verantwoordelijkheden
    Er wordt afgezien van samenwerking omdat de partijen onderling twijfelen aan elkaars vermogen om gemaakte afspraken rond gegevensbescherming na te komen. Dit geldt ook voor samenwerking tussen interne afdelingen en domeinen met eigen taken en gescheiden data-huishouding.
  2. Terechte bezwaren vanuit de AVG
    Wettelijke beperkingen, zoals het ontbreken van een juridische grondslag of een verbod op het gebruik van bijzondere persoonsgegevens maken het lastig om gezamenlijk waarde te creëren uit datasets.
  3. Angst voor overtredingen
    Wettelijke beperkingen, zoals het ontbreken van een juridische grondslag of een verbod op het gebruik van bijzondere persoonsgegevens maken het lastig om gezamenlijk waarde te creëren uit datasets.

Dat is zonde, omdat de AVG juist bedoeld is om vrij verkeer van gegevens mogelijk te maken en ethisch verantwoord gebruik van persoonsgegevens te bevorderen.

Wat zijn PETs?

Al sinds de jaren 80 zijn PETs onderwerp van academisch onderzoek. Inmiddels is deze brede groep technologieën uitgegroeid tot praktisch toepasbare technologie die helpt bij het borgen van gegevensbeschermingsprincipes.

Op hoofdlijnen kunnen deze als volgt worden ingedeeld(1):

  1. Data obfuscation
    Deze technologie versluiert of maskeert gegevens, waardoor ze niet direct naar een persoon herleidbaar zijn. Denk hierbij aan pseudonimisering of anonimisering van data.
  2. Encrypted processing tools
    Met deze tools worden gegevens versleuteld tijdens de verwerking. Zelfs als de data onderschept worden, blijven ze onleesbaar voor onbevoegden.
  3. Federated & distributed analytics
    Deze technieken maken het mogelijk om analyses decentraal uit te voeren, waardoor de brondata niet op één centrale locatie hoeft te worden opgeslagen. Zo kunnen meerdere partijen samenwerken zonder dat hun data fysiek samengevoegd hoeft te worden.

Hoe PETs oplossingen bieden

Door PETs op zichzelf of in combinatie te gebruiken wordt het samenvoegen van datasets van meerdere partijen voor analysedoeleinden mogelijk (multi-party computing), kunnen burgers aantonen dat ze in bezit zijn van een rijbewijs zonder het te hoeven tonen (zero-knowledge proofs), en kunnen AI-systemen getraind worden door analyses op lokale devices (distributed analytics).

PETs verbreden de manier waarop informatievragen kunnen worden beantwoord, zonder ongewenst nevengebruik. PET’s bevorderen proportionaliteit en dataminimalisatie, soms zijn verboden uit de AVG daardoor niet van toepassing terwijl hetzelfde doel wordt bereikt.

Waarom PETs nog niet breed worden toegepast

Hoewel de voordelen duidelijk zijn, blijft de toepassing van PETs in de praktijk vaak achter. Dit kan verschillende redenen hebben:

  1. Gebrek aan kennis
    Veel organisaties missen de interne expertise om PETs effectief te implementeren.
  2. Vragen over governance
    Het is niet altijd duidelijk wie binnen de organisatie verantwoordelijk is voor de inzet van PETs, wat besluitvorming kan vertragen.
  3. Geen one size fits all oplossing
    PETs vereisen maatwerk, omdat elke toepassing unieke uitdagingen en eisen heeft.

De toekomst van PETs

Wij verwachten dat het gebruik van PETs in de komende jaren sterk zal toenemen. Zo geeft De Autoriteit Persoonsgegevens in haar sectorbeeld overheid aan dat het belangrijk is dat bestuurders op de hoogte zijn van het bestaan van PETs(2), en heeft het Nationaal Innovatiecentrum voor PETs (NICPET) een roadmap(3) opgesteld om de belangrijkste knelpunten voor 2028 weg te nemen.

Hoe zet je PETs verantwoord in?

PETs zijn per definitie ‘privacy enhancing’, omdat ze ervoor zorgen dat de gegevensverwerking minder inbreuk maakt op het privéleven van betrokken personen. De echte waarde zit er echter in dat ze AVG-enabling zijn. Ze voorzien in passende maatregelen gezien de stand der techniek en maken daarmee verantwoord gegevensgebruik mogelijk.

Door het gebruik van PETs zijn de gegevens niet meer herleidbaar tot het individu, toch kan besluitvorming op basis van de uitkomst wel degelijk impact hebben op datzelfde individu. Dat maakt dat PETs niet perse ‘privacy proof’ zijn. Overweging 35 van het Nowak-arrest geeft antwoord op de vraag wanneer iets informatie over een betrokkene ‘betreft’(4):

“Deze laatste voorwaarde is vervuld wanneer die informatie wegens haar inhoud, doel of gevolg gelieerd is aan een bepaalde persoon.”

Het gebruik van best practices en een risicogebaseerde aanpak bij het opzetten van een proces of samenwerkingsverband middels PETs is daarom een must, óók als gegevens niet meer te herleiden zijn tot het individu.

Hoe wij jou kunnen helpen

Het gebruik van PETs is sterk context-afhankelijk. Dat betekent o.a. dat bij de beoogde inzet goed gekeken moet worden naar borging van verantwoordelijkheden, de benodigde accountability en of de resultaten voldoende anoniem zijn.

PMP helpt organisaties met:

  • Training & awareness rondom PETs
  • Expertise bij de selectie en implementatie van PETs
  • Begeleiding van pilots voor het verkennen van PETs
  • Risicoanalyse en juridische begeleiding

Meer weten over PETs? Schrijf je in voor onze kennistafel!

Wil jij meer weten over PETs? Kom dan naar onze kennistafel die wij op maandag 11 november in samenwerking met BlueGen.ai organiseren. Tijdens deze sessie bespreken we onder andere:

  • Waarom PETs belangrijk zijn en welke obstakels je tegen kan komen
  • Toepassingsmogelijkheden van verschillende PETs
  • Een verdiepingsslag op het gebruik van synthetische data
  • Hoe jouw organisatie een PET-traject kan opstarten

We sluiten af met een drankje en bieden de gelegenheid om in een informele setting met vakgenoten van gedachten te wisselen.


  1. Zie ook: OECD Digital Economy Papers, Maart 2023 (No. 351)
  2. Autoriteit Persoonsgegevens (AP), Sectorbeeld Overheid, 9 oktober 2024
  3. NICPET, Roadmap voor veilige en privacyvriendelijke dataverwerking met PETs, 23 september 2024
  4. C‑434/16, Nowak v. Data Protection Commissioner, ECLI:EU:C:2017:994, 20 december 2017
Auteurs:
Hidde de Voogt – Senior Legal Consultant
Teije ter Maat – Senior Consultant


Over de auteur

Terug naar het overzicht