Op basis van de door jou gegeven antwoorden is sprake van gepseudonimiseerde (persoons)gegevens
Volgens artikel 4 lid 5 AVG zijn gepseudonimiseerde gegevens:
“het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.”
Dit betekent dat de gegevens niet direct aan een persoon gekoppeld kunnen worden maar dat het wel mogelijk is om via aanvullende gegevens de koppeling te herstellen.
Voorbeelden van pseudonimisering
Een sleutelbestand gebruiken waarmee gecodeerde gegevens aan de originele gegevens kunnen worden gelinkt.
Een uniek record isoleren dat een persoon identificeert (bijv. iemand met een zeldzame ziekte).
Waarden van persoonskenmerken afleiden uit andere kenmerken.
Pseudonimisering moet deskundig worden uitgevoerd (eerste encryptie bij de aanbieder).
Er moeten technische en organisatorische maatregelen zijn om herhaling van encryptie (replay attacks) te voorkomen.
De verwerkte gegevens mogen niet indirect identificerend zijn.
Een onafhankelijke deskundige (audit) moet vooraf en periodiek vaststellen dat aan deze voorwaarden is voldaan.
Daarnaast moet de oplossing duidelijk en volledig worden beschreven in een openbaar document, zodat betrokkenen kunnen zien welke garanties er gelden.
Pseudonieme gegevens vallen nog steeds onder de AVG.
De aanvullende gegevens die herleiding mogelijk maken, moeten in een goed beveiligde omgeving worden opgeslagen.