Module 3A - Anonimiseren van databanken en differentiële privacy

Question 1

Pseudonimisering

Answer 1

• Pseudonimisering zorgt ervoor dat je de gegevens niet meer eenvoudig kunt koppelen aan de oorspronkelijke identiteit van een betrokkene → zeer nuttige maatregel om gegevens te beveiligen, maar het blijft nog steeds mogelijk om ze terug te koppelen!

Question 2

Anonieme gegevens

Answer 2

• Dit is wanneer de gegevens geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of wanneer het gaat om persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is.
• → geen koppelijk mogelijk tussen de dataset en de betrokkenen. Anonimisering betekent dus dat identificatie van de betrokkene onherroepelijk uitgesloten is.

Question 3

Relevantie onderscheid

Answer 3

• Dit onderscheid is juridisch relevant → gegevensbeschermingsbeginselen in de AVG niet van toepassing zijn op de verwerking van anonieme gegevens, maar daarentegen wel nog steeds op de verwerking van gepseudonimiseerde gegevens.
• Gepseudonimiseerde persoonsgegevens, die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, worden beschouwd als “gegevens over een identificeerbare natuurlijke persoon”

Question 4

Hoe bepalen of een natuurlijke persoon (her)identificeerbaar is?

Answer 4

• Redelijkheidstoets: er moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke, of door een andere persoon, om de natuurlijke persoon direct of indirect te identificeren (overweging 26 AVG).

Question 5

Waar wordt rekening mee gehouden bij de redelijkheidstest bij anonimisering?

Answer 5

• Objectieve factoren: kosten en tijd voor identificatie met beschikbare technologie. Pas wanneer heridentificatie onevenredig veel moeite zou kosten, kan de dataset als anoniem worden beschouwd.

Question 6

Wanneer kan je iets als anoniem aanmerken?

Answer 6

• Uitsluitend wanneer de voor de verwerking verantwoordelijke de gegevens dermate samenvoegt (aggregeert) dat de individuele gebeurtenissen niet langer identificeerbaar zijn, kan de resulterende dataset als anoniem worden aangemerkt.
• Bv. Wanneer een verwerkingsverantwoordelijke de originele (identificeerbare) gegevens niet verwijdert op gebeurtenisniveau, en een deel van die dataset doorgeeft (bijvoorbeeld na het verwijderen of maskeren/afschermen van identificeerbare gegevens), de resulterende dataset nog steeds valt onder de noemer van persoonsgegevens.

Question 7

Gevaar gepseudonimiseerde dataset

Answer 7

• Wordt gedacht dat het anoniem is als de verwerkingsverantwoordelijke enkel de rechtstreekse identificatoren (zoals de naam van de personen) wijzigt, blijven de betrokkenen identificeerbaar zolang de dataset nog quasi-identificatoren bevat, dan wel andere waarden of attributen waarmee een persoon kan worden geïdentificeerd.
• Vaak kan een persoon in een gepseudonimiseerde dataset even gemakkelijk worden geïdentificeerd als met de oorspronkelijke gegevens.

Question 8

Waarom moeilijk om een anonieme dataset te creëren?

Answer 8

• Omdat je de onderliggende informatie nodig hebt waardoor het belang van de dataset verminderd.
• Anonieme dataset kan gecombineerd worden met andere dataset om personen te achterhalen.

Question 10

Anonimiseringstechnieken

Answer 10

• Geen enkele techniek is perfect: afweging tussen:
  
  • Bruikbaarheid data
  • Privacybescherming
• Bv. ruis toevoegen aan foto’s.

Question 11

Hoe moeten we “identificatie” begrijpen?

Answer 11

• Mogelijkheid om iemands naam en/of adres te achterhalen, maar ook identificeerbaarheid door gegevens te herleiden tot de persoon, met elkaar in verband te brengen en af te leiden.

Question 12

3 risico’s bij anonimiseringsproces?

Answer 12

1. Herleidbaarheid (singling out) = mogelijkheid om een persoon in de dataset te individualiseren.
2. Koppelbaarheid (linkability) = mogelijkheid om minstens 2 records over dezelfde betrokkene met elkaar in verband te brengen (in dezelfde of 2 verschillende databases). Je kan dit niet volstaan maar wel de herleidbaarheidstest.
3. Deduceerbaarheid (inference) = de mogelijkheid om persoonsgebonden informatie af te leiden.

Question 13

Wat moet een anonimiseringsoplossing doen?

Answer 13

• Die 3 risico’s uitsluiten → dan voldoende bestand tegen heridentificatie op basis van de meest waarschijnlijke en redelijk middelen = voldoet aan de wettelijke redelijkheidstoets.
• Maar: geen enkele techniek is vrij van tekortkomingen

Question 14

Technieken anonimisering

Answer 14

1. Randomiseren
2. Generaliseren

Question 15

Quasi-identificatoren

Answer 15

Combinaties van attributen die verband houden met een betrokkene of een groep betrokkenen.

Question 16

Wat is een aanvaller

Answer 16

• = een derde (dus niet de verwerkingsverantwoordelijke, noch de gegevensverwerker) die per ongeluk of opzettelijk toegang krijgt tot de oorspronkelijke records.

Question 17

Wat is randomisatie?

Answer 17

• Groep technieken waarmee gegevens worden gewijzigd om ze lost te koppelen van een persoon. Als de gegevens voldoende at random zijn (dat wil zeggen willekeurig of onbepaald), is het niet langer mogelijk om ze te herleiden tot een specifieke persoon.

Question 18

Wat met de uniciteit?

Answer 18

• Door randomisatie wordt de uniciteit of eenduidigheid van elke record niet verminderd: er bestaat nog steeds een één-op-éénrelatie tussen de record en de betrokkene.

Question 19

Waartegen biedt randomisatie wel bescherming?

Answer 19

• Deductieve aanvallen en risico’s van deduceerbaarheid verminderen. Door randomisatie te combineren met generalisatietechnieken worden betere privacywaarborgen geboden.

Question 20

Ruistoevoeging

Answer 20

• Vooral nuttig wanneer attributen belangrijke negatieve gevolgen kunnen hebben voor personen → attributen gewijzigd om ze minder nauwkeurig te maken maar wel met behoud van de algemene verdeling.
  
  • De waarden blijven accuraat, maar tot een bepaalde hoogte: bv. +-10 cm terwijl de originele data tot op de cm nauwkeurig was.

Question 21

Wat is de combinatie ruis en anonimiseringstechnieken?

Answer 21

• Ruistoevoeging wordt gecombineerd met andere technieken: verwijderen van doorzichtige attributen en quasi-identificatoren.

Question 22

Hoe omvang ruis bepalen?

Answer 22

• Vereiste informatiegehalte en het effect van de bekendmaking van beveiligde attributen op de individuele privacy.

Question 23

Privacywaarborgen en ruis?

Answer 23

1. Herleidbaarheid: blijft mogelijk om ze te herleiden, maar mogelijk zonder identiteit van een persoon te kunnen vaststellen.
2. Koppelbaarheid: records van dezelfde persoon maar de records zijn minder betrouwbaar. In sommige gevallen kan een betrokkene bij een onjuiste attributie aanzienlijk meer risico lopen dan wanneer de records juist worden geattribueerd.
3. Deduceerbaarheid: slaagkans lager en foutpositieven zijn mogelijk.

Question 24

Permutatie

Answer 24

• = attribuutwaarden in een tabel in een willekeurige volgorde van plaats verwisselen zodat bepaalde waarden op kunstmatige wijze worden gekoppeld aan andere betrokkenen.

Question 25

Wanneer is permutatie nuttig?

Answer 25

Wanneer de exacte verdeling van elk attribuut binnen de dataset behouden moet blijven.

Question 26

Permutatie als bijzondere vorm van ruistoevoeging

Answer 26

* Attributen gewijzigd met aselecte (gerandomiseerde) waarden zonder voorspelbaar patroon. Het kan een hele opgave zijn op consistente wijze ruis te genereren. * Bovendien is dit geen privacyveilige oplossing wanneer alleen de attribuutwaarden in geringe mate worden veranderd.

Question 27

Waarvoor zorgt permutatie?

Answer 27

* Bereik en de verdeling van de waarden blijft identiek, maar de correlaties tussen de waarden en personen veranderen. * Als er tussen 2 of meer attributen een logische relatie of statistische correlatie bestaat → verloren wanneer de attributen onafhankelijk van elkaar van plaats worden verwisseld (gepermuteerd) * Daarom moeten we de logisch volgorde behouden, ander kan een aanvaller de anders geordende attributen identificeren en de permutatie ongedaan maken

Question 28

Is permutatie voldoende voor anonimiteit?

Answer 28

* Doorgaans bestaat er een sterke logische relatie die de waarden aan elkaar koppelt. Wordt slechts één van die waarden van plaats verwisseld, dan kan een aanvaller die permutatie opsporen en zelfs terugdraaien. * Net als bij ruistoevoeging is permutatie op zich **niet voldoende** om gegevens anoniem te maken. Het is ook van belang dat doorzichtige attributen/quasi-identificatoren worden verwijderd.

Question 29

Permutatie en herleidbaarheid?

Answer 29

* Herleidbaarheid: net als bij ruistoevoeging blijft het mogelijk om de records te individualiseren, dat wil zeggen te herleiden tot een persoon, ook al zijn de records minder betrouwbaar.

Question 30

Permutatie en koppelbaarheid?

Answer 30

* Koppelbaarheid: door attributen en quasi-identificatoren van plaats te verwisselen, kan worden vermeden dat attributen intern of extern in het „juiste” verband worden gebracht met een dataset; niettemin blijft een risico bestaan dat een „onjuist” verband wordt gelegd wanneer een echt informatie-element wordt gerelateerd aan een andere betrokkene.

Question 31

Permutatie en deduceerbaarheid?

Answer 31

* **Deduceerbaarheid**: de dataset blijft vatbaar voor deducties, met name wanneer attributen aan elkaar gecorreleerd zijn of sterke logische relaties bezitten. De aanvaller weet echter niet op welke attributen de permutatie werd toegepast en moet er dan ook van uitgaan dat zijn deductie op een onjuiste hypothese kan berusten. Bijgevolg bestaat er alleen nog een risico van probabilistische deduceerbaarheid.

Question 32

Tekortkomingen permutatie?

Answer 32

* Kan **onvoldoende privacywaarborgen** opleveren zolang er **logische relaties** tussen verschillende attributen bestaan. Ook na anonimisering valt het inkomen van elke persoon eenvoudig af te leiden uit de functie (en het geboortejaar)

Question 33

Differentiële privacy

Answer 33

* Mathematische ruis aan gegevens wordt toegevoegd. * Idee: quasi onmogelijk om in te schatten over welke hulpinformatie (auxiliary information) een mogelijke aanvaller kan beschikken (zie Netflix).

Question 34

Wat houdt differentiële privacy in volgens Dwork?

Answer 34

* Het risico op een privacy-inbreuk niet meer dan met een factor ε toeneemt wanneer de gegevens over een persoon in de dataset worden opgenomen, en dit, ongeacht de hulpinformatie van mogelijke aanvallers. * Het opnemen van de gegevens van een persoon in de dataset zou niet veel verschil mogen maken voor de gevolgtrekkingen die over die persoon worden gemaakt.

Question 35

Voorbeeld differentiële privacy?

Answer 35

* Stel 2 identieke databanken met als verschil dat maar 1 je informatie bevat. Differentiële privacy zorgt ervoor dat de waarschijnlijkheid dat een statistische zoekopdracht een bepaald resultaat oplevert (bijna) gelijk is, ongeacht of die wordt uitgevoerd op de eerste of de tweede databank. * Wiskundige ruis toe te voegen aan de an de individuele gegevens in de databank (zodat hun identiteit niet kan worden achterhaald), op een zodanige manier dat de ruis de statistische uitkomst van alle gegevens niet beïnvloedt. * Lastig maken of een bepaald individu deel uitmaakt van de gegevensset, omdat de uitvoer van het algoritme er in wezen hetzelfde uitziet, ongeacht of de informatie van een bepaalde persoon is opgenomen of weggelaten.

Question 36

Wanneer is differentiële privacy vooral populair?

Answer 36

* Bij algoritmes via machinaal leren, aangezien het toelaat om gebruikspatronen van een groot aantal gebruikers te ontdekken, zonder afbreuk te doen aan individuele privacy.

Question 37

Wat is dus een algoritme dat differentiële privacy biedt?

Answer 37

* Algoritme waarvoor de waarschijnlijkheid dat het een specifieke verzameling parameters leert, ruwweg hetzelfde blijft als we één individu veranderen in de verzameling waarop we het algoritme getraind hebben. * Dat betekent dat we een individu kunnen toevoegen, verwijderen of eigenschappen van een individu kunnen aanpassen. * Als het algoritme deze eigenschap heeft, dan weten we dat één individu geen invloed heeft op wat het algoritme leert en dat we dus door vragen te stellen aan het algoritme op geen enkele manier informatie kunnen verkrijgen over een individu. Dan bereiken we differentiële privacy.

Question 38

Waartegen zijn differentieel private algoritmes bestand?

Answer 38

* Tegen adaptieve aanvallen die gebruik maken van aanvullende informatie. Door het opnemen van willekeurige ruis in de mix, wordt alles wat een tegenstander ontvangt, luidruchtig en onnauwkeurig, wat de anonimiteit moet verzekeren van ieder lid in de groep gedurende het gehele proces voor het ophalen van informatie.

Question 39

Welke waarde je aan factor ε wil toekennen. Wat is je “privacybudget”?

Answer 39

* Dit gaat ten koste van de bruikbaarheid van je dataset. Hoe meer je individuele privacy beschermt, hoe minder nauwkeurig je samengevoegde statistieken over de verzameling kunt berekenen.

Question 40

Herleidbaarheid en differentiële privacy?

Answer 40

* Herleidbaarheid: wanneer de output alleen uit statistieken bestaat en indien zorgvuldig afgewogen regels op de dataset worden toegepast, kunnen de antwoorden niet worden gebruikt voor de herleiding tot een persoon.

Question 41

Koppelbaarheid en differentiële privacy?

Answer 41

* **Koppelbaarheid**: bij gebruik van meervoudige gegevensopvragingen kan het mogelijk zijn persoonsgebonden informatie-elementen in twee antwoorden met elkaar in verband te brengen.

Question 42

deduceerbaarheid en differentiële privacy?

Answer 42

* Deduceerbaarheid: meervoudige gegevensopvragingen maken het mogelijk informatie over personen of groepen af te leiden.

Question 43

Tekortkomingen differentiële privacy?

Answer 43

* Elke gegevensopvraging (query) op zichzelf staand behandelen: door queryresultaten te combineren, kan ongewild geheime informatie openbaar worden gemaakt. * Als er geen querygeschiedenis bijgehouden, dan kan een aanvaller meerdere gegevensopvragingen verzenden naar een database die berust op “differentiële privacy” → steekproef zodat een specifiek persoonskenmerk met een zeer hoge waarschijnlijkheid naar boven komt. * Betrokkene kan nog steeds identificeren in de oorspronkelijke database.

Question 44

Wat is generalisatie?

Answer 44

* Deze benaderingswijze bestaat erin de attributen van de betrokkenen te generaliseren (veralgemenen) of af te zwakken (dilueren) door de schaalgrootte of omvang te wijzigen. * Grote granulariteit toevoegen = minder gedetailleerd.

Question 45

Is generalisatie voldoende voor anonimiteit?

Answer 45

* Generalisatie kan een efficiënte manier zijn om herleiding tot de persoon uit te sluiten, maar is niet in alle gevallen geschikt om gegevens op doeltreffende wijze anoniem te maken. * Er zijn specifieke en geavanceerde kwantitatieve benaderingen nodig om koppelbaarheid en deduceerbaarheid tegen te gaan.

Question 46

suppression

Answer 46

* Supprimeren of onderdrukken = suppression: * Om datasets te delen met onderzoekers maar waarbij ze de personen niet kunnen identificeren → kenmerken of **key attributes supprimeren of onderdrukken**: * Bv. naam weghalen → vaak niet voldoende.

Question 47

Wat is een voorbeeld van generalisatie?

Answer 47

* Individuele waarden van attributen worden vervangen door een bredere categorie. * Een dataset kan geen unieke identificator bevatten maar wel 4 quasi-identifiers → **sensitive attribute** = informatie die we willen afschermen. * We gaan die quasi-identifiers generaliseren → dan kan je niet meer combineren zodat minstens 2 personen met dezelfde quasi-identifiers in de dataset voorkomen.

Question 48

K-anonimiteit

Answer 48

* Zwakte van geanonimiseerde datasets voorkomen door deze samen te voegen met ten minste k andere personen → door de attribuutwaarden op zodanige wijze te generaliseren dat meerdere personen dezelfde waarde gemeen hebben. * Dit is dus eigenlijk een techniek om de identiteit van individuen binnen een groep van soortgelijke personen te verbergen (daarom worden deze ook wel aangeduid als “groepsgebaseerde anonimisering”)

Question 49

Wat betekent de k in k-anonimiteit

Answer 49

* Grootte van de groep: Als er voor een individu in de gegevensset ten minste k-1 individuen zijn met dezelfde eigenschappen, is er sprake van k-anonimiteit voor de gegevensset. * Stel dat voor een bepaalde gegevensset k gelijkstaat aan 50 en de eigenschap de postcode is. Als we naar een persoon in de gegevensset kijken, vinden we altijd 49 anderen met dezelfde postcode. Bijgevolg is het onmogelijk een persoon te identificeren op basis van alleen de postcode.

Question 50

Herleidbaarheid en k-anonimiteit?

Answer 50

* **Herleidbaarheid**: aangezien k gebruikers nu dezelfde kenmerken gemeen hebben, is het niet langer mogelijk een persoon te individualiseren in een groep van k gebruikers.

Question 51

Koppelbaarheid en k-anonimiteit

Answer 51

* **Koppelbaarheid**: ook al is de koppelbaarheid minder groot, het blijft mogelijk records met elkaar in verband te brengen in groepen van k gebruikers. Binnen deze groep is de kans dat twee records overeenstemmen met dezelfde pseudo-identificatoren gelijk aan 1 op k (wat veel groter kan zijn dan de kans dat deze informatie-elementen niet koppelbaar zijn).

Question 52

Deduceerbaarheid en k-anonimiteit

Answer 52

* **Deduceerbaarheid**: de belangrijkste zwakke plek in het k-anonimiteitsmodel is dat deductieve aanvallen niet worden voorkomen. Immers, gesteld dat alle k personen tot dezelfde groep behoren en tevens bekend is van welke groep een persoon deel uitmaakt, dan is de waarde van deze eigenschap eenvoudig te achterhalen.

Question 53

Tekortkomingen k-anonimiteit

Answer 53

* Vatbaar voor aanvallen omdat het geen randomisering inhoudt: * **Deductieve aanvallen:** aanvallers kunnen nog steeds conclusies trekken, zeker als die achtergrondkennis beschikt. * **Background knowledge attack**: Wanneer bijvoorbeeld de aanvaller in het volgende voorbeeld weet dat in de dataset een specifieke persoon is opgenomen met 1964 als geboortejaar, weet hij ook dat die persoon een hartaanval heeft gekregen. * **Complementary release attack** * **Temporal attack** * **Homogeniteitsaanvallen**

Question 54

Complementary release attack

Answer 54

* Indien men informatie uit datasets die na elkaar worden gereleased kan combineren. * Kan zijn dat het vrijgeven van 1 dataset voldoet aan k-anonimiteit maar de combinatie niet. Rekening mee houden dat alle eerder vrijgegeven informatie beschikbaar is voor mogelijke aanvallen (en niet langer als privaat kan worden beschouwd).

Question 55

Temporal attack?

Answer 55

Het combineren van informatie kan opnieuw unieke combinaties opleveren, waardoor met zekerheid kan worden gezegd dat bv. Alice van adres is veranderd en nu in een andere postcode woont.

Question 56

Homogeniteitsaanvallen

Answer 56

* In situaties waarin alle waarden voor een gevoelige eigenschap binnen een set van k records identiek zijn (bijvoorbeeld: wanneer voor alle personen in de bovenstaande tabellen zou gelden dat ze met obesitas kampen). In dergelijke gevallen kan, ook al zijn de gegevens k-geanonimiseerd, de gevoelige waarde voor de reeks van k records precies worden voorspeld.

Question 57

Curse of Dimensionality

Answer 57

* Generalisatie zorgt er opnieuw voor dat je data minder waardeval is. Je hebt ook veel gegevens nodig om over te gaan tot generalisatie. * Het komt regelmatig voor dat in datasets uit de echte wereld (real-world datasets) de gegevens zo schaars zijn dat de “dichtsbijzijnde buur” zeer ver is. Doorgedreven veralgemening dreigt in zo’n gevallen de bruikbaarheid van je dataset te ondermijnen.

Question 58

L-diversiteit en t-gelijkenis

Answer 58

* L-diversiteit betekent dat de de geanonimiseerde gegevensset niet alleen zoekopdrachten voor de griep bevat. De gegevensset kan naast zoekopdrachten voor COVID-19 andere zoekopdrachten bevatten om de privacy van de gebruiker beter te waarborgen. * Google maakt gebruik van l-diversiteit om dit risico te beperken. Met de term l-diversiteit wordt een bepaalde mate van diversiteit in de gevoelige waarden beschreven. * Bv. iedereen die Covid opzoekt = iedereen een gevoelig kenmerk ondanks dat je niet individueel kan bepalen wie het heeft opgezocht.

Question 59

Herleidbaarheid en l-diversiteit en t-gelijkenis

Answer 59

Net als k-anonimiteit kunnen l-diversiteit en t-gelijkenis ertoe bijdragen dat databaserecords niet worden herleid tot een persoon.

Question 60

Koppelbaarheid en l-diversiteit?

Answer 60

* Wat dat betreft, bieden l-diversiteit en t-gelijkenis geen betere garanties dan k-anonimiteit. Hier doet zich hetzelfde probleem voor als met elke cluster: de kans dat dezelfde informatie-elementen aan een en dezelfde betrokkene toebehoren, is groter dan 1 op n (waarbij n het aantal betrokkenen in de database is).

Question 61

Deduceerbaarheid en l-diversiteit en t-gelijkenis?

Answer 61

* De belangrijkste verbetering van l-diversiteit en t-gelijkenis ten opzichte van k-anonimiteit is dat het niet langer mogelijk is deductieve aanvallen op te zetten tegen een op l-diversiteit of t-gelijkenis gebaseerde database met een betrouwbaarheidsniveau van 100%.

Question 62

Wat is pseudonimisering?

Answer 62

* Bij pseudonimisering wordt **één attribuut** (dat doorgaans uniek is) in een **record vervangen** door een ander attribuut. De natuurlijke persoon is dus nog steeds indirect identificeerbaar. Bijgevolg is pseudonimisering op zich niet voldoende om een dataset volledig anoniem te maken. * Pseudonimisering **vermindert de koppelbaarheid** tussen een dataset en de oorspronkelijke identiteit van een betrokkene, en is als zodanig een nuttige beveiligingsmaatregel, maar, zoals reeds opgemerkt, geen anonimiseringsmethode.

Question 63

Meest gebruikte technieken bij pseudonomiseringstechnieken?

Answer 63

1. **Encryptie:** Encryptie met een geheime sleutel: in dit geval kan degene die de sleutel bezit elke betrokkene eenvoudig opnieuw identificeren door de dataset te decoderen. De persoonsgegevens zijn immers nog steeds in de dataset opgenomen, zij het in gecodeerde vorm. Gesteld dat een geavanceerd encryptiesysteem werd toegepast, dan is decodering uitsluitend mogelijk wanneer de sleutel bekend is. 2. **Hashfuncties**

Question 64

Hashfunctie

Answer 64

* Deze functie retourneert voor een invoer van willekeurige omvang (één enkel attribuut of een verzameling van attributen) een uitvoer met vaste grootte, en kan niet worden teruggedraaid. * → risico bij encryptie dat het proces wordt teruggedraaid bestaat hier niet. * Is het bereik van invoerwaarden van de hashfunctie echter bekend, dan bestaat de mogelijkheid de hashfunctie opnieuw daarop toe te passen (replay-aanval) om de juiste waarde voor een specifieke record af te leiden. * Hashfuncties zijn doorgaans ontworpen om zo snel mogelijk berekend te kunnen worden, en staan bloot aan brutekrachtaanvallen

Question 65

Herleidbaarheid en pseudonimisering?

Answer 65

* **Herleidbaarheid**: de records blijven herleidbaar tot de persoon aangezien deze laatste nog steeds wordt geïdentificeerd door een uniek attribuut dat voortvloeit uit de pseudonimiseringsfunctie (= het gepseudonimiseerde attribuut).

Question 66

Koppelbaarheid en pseudonomisering?

Answer 66

* Koppelbaarheid: de records zijn eenvoudig met elkaar in verband te brengen wanneer hetzelfde gepseudonimiseerde attribuut wordt gebruikt om naar dezelfde persoon te verwijzen. * Zelfs wanneer voor dezelfde betrokkene verschillende gepseudonimiseerde attributen worden gebruikt, kunnen de records via andere attributen met elkaar in verband worden gebracht. * Alleen wanneer geen enkel ander attribuut in de dataset het mogelijk maakt de betrokkene te identificeren en wanneer het oorspronkelijke attribuut volledig werd losgekoppeld van het gepseudonimiseerde attribuut (onder meer door de oorspronkelijke gegevens te verwijderen), kunnen twee datasets waarin verschillende gepseudonimiseerde attributen worden gebruikt niet met elkaar in verband worden gebracht.

Question 67

Deduceerbaarheid en pseudomisering?

Answer 67

* **Deduceerbaarheid**: deductieve aanvallen om de werkelijke identiteit van een betrokkene te achterhalen zijn mogelijk in een dataset of tussen verschillende databases die hetzelfde gepseudonimiseerde attribuut voor een persoon gebruiken, of wanneer de pseudoniemen doorzichtig zijn en de oorspronkelijke identiteit van de betrokkene niet naar behoren verhullen.

Question 68

Vaak gemaakte fouten bij pseudonomisering?

Answer 68

1. Aannemen dat gepseudonimiseerde dataset anoniem is 2. Vaak gemaakte fouten bij gebruik van pseudonimisering als techniek om koppelbaarheid te verminderen 1. Dezelfde sleutel gebruiken in verschillende databases. 2. Verschillende sleutels "roterende sleutels" gebruiken voor verschillende gebruikers → patronen ontstaan 3. Sleutel bewaren: wanneer de geheime sleutel samen met de gepseudonimiseerde gegevens wordt bewaard en de gegevens raken gecompromitteerd, dan kan de aanvaller de gepseudonimiseerde gegevens eenvoudig in verband brengen met het oorspronkelijke attribuut, ook als die niet veilig wordt bewaard.

Question 69

Wat is er van belang bij privacy en bruikbaarheid dataset?

Answer 69

* Evenwicht zoeken tussen bruikbaarheid datasets en bescherming privacy. * Geen van de technieken voldoende → helpen al wel. Kan een combinatie helpen? Er is geen one-size-fits-all want rekening houden met de doelstellingen, de relevante contextuele factoren, technische onderbouwing.

Question 70

Overzicht technieken?

Answer 70

Question 71

Welke restrisico's bestaan er nog bij geanonimiseerde datasets?

Answer 71

* Restrisico's ook nog bij geanonimiseerde datasets: Zelfs anoniem gemaakte gegevens, zoals statistieken, zijn bruikbaar om bestaande persoonsprofielen te verrijken, wat nieuwe kwesties en problemen op het gebied van gegevensbescherming kan doen rijzen. * Ook al kan een record niet worden opgehaald → mogelijkheid blijft bestaan om informatie die persoon te verzamelen met gebruikmaking van andere (al dan niet publiekelijk) beschikbare informatiebronnen. * Dit maakt duidelijk dat anonimisering geen eenmalige oefening is en dat verwerkingsverantwoordelijken de daarmee samenhangende risico’s regelmatig opnieuw zullen moeten bekijken.