VERDIEPINGSARTIKEL

Een pdf anonimiseren

Sinds de AVG van kracht is, kunt u beter even goed nadenken voordat u een pdf verstuurt naar een externe relatie. Als in de pdf persoonsgegevens staan, moet u die eerst anonimiseren. Een paar zwarte balkjes over namen? Daar komt u niet mee weg. Om een pdf AVG-proof te anonimiseren, moet u de persoonsgegevens verwijderen uit het bestand, zodat ze niet meer terug te halen zijn door de ontvanger.


31 juli 2019 4 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement online.


Als in kranten beelden voorbijkomen van de verdachte in een strafzaak, zijn de ogen vaak bedekt door een zwart balkje. Dit om te voorkomen dat de verdachte herkend wordt. Dat zwarte balkje werkt misschien op beeldmateriaal, maar op deze manier persoonsgegevens verbergen in een pdf is een minder goed idee. Organisaties sturen soms een pdf naar een externe partij waarin persoonsgegevens voorkomen, bijvoorbeeld van klanten of werknemers. Die mogen onder de AVG niet meer op die manier gedeeld worden, dus moeten ze geanonimiseerd worden. Helaas gaat het daarmee nog vaak fout. Stel, u wilt informatie delen met een toeleverancier. Die informatie is opgeslagen als pdf, maar daarin staat een klant of werknemer met naam en toenaam genoemd. Dat zijn persoonsgegevens, die volgens de AVG geanonimiseerd moeten worden. Het komt regelmatig voor dat dit op een simpele manier gebeurt, namelijk door er een zwarte balk overheen te plakken. Degene die voor deze oplossing kiest, staat er echter niet bij stil dat deze vorm van beveiliging redelijk simpel te kraken is. De originele tekst is namelijk niet weg. Soms is de tekst achter het balkje gewoon te kopiëren en te plakken, en het is ook mogelijk om de aangebrachte balk eenvoudig weer te verwijderen. Dit is dus niet afdoende.

Bezwaarschriften

Een recent voorbeeld waarbij het anonimiseren van documenten niet helemaal goed ging, is de flater van Gemeente Amsterdam. In reactie op nieuwe regels ontving de gemeente verschillende bezwaarschriften van inwoners. De namen van de afzenders van deze bezwaarschriften had de gemeente ‘onleesbaar’ gemaakt door er een zwart balkje overheen te plaatsen. Vervolgens werden de documenten op de site gezet. Wie de tekst echter selecteerde en plakte in een programma als Word, kon gewoon de afgeschermde namen lezen, zo ontdekte een data-analist. Extra pijnlijk was dat de klagers persoonlijke verhalen in de brieven hadden verwerkt om hun standpunt duidelijk te maken aan de gemeente. Zo schreef iemand dat hij moeite had om het hoofd financieel boven water te houden.

Stappenplan

Dit voorbeeld illustreert hoe belangrijk het is om persoonsgegevens goed te verwijderen. Slordigheden kunnen u niet alleen een tik op de vingers van de Autoriteit Persoonsgegevens opleveren, maar kunnen ook uw relatie verpesten met de mensen bij wie de persoonsgegevens horen. Bovendien kost het goed anonimiseren van een pdf u maar een paar minuten van uw tijd. U hoeft hiervoor alleen het volgende stappenplan te volgen:

  1. Open de pdf en klik op ‘Gereedschappen’.
  2. Onder het kopje ‘Beschermen en standaardiseren’ kiest u voor ‘Redigeren’. De set met gereedschappen wordt nu toegevoegd aan de werkbalk.
  3. Klik op ‘Markeren voor redactie’ en dan op ‘Tekst zoeken’.
  4. Typ in het zoekveld de tekst die verwijderd moet worden. Er komt nu een rode rechthoek rond die tekst te staan. U kunt ook zoeken op een woordgroep of met een patroon, zoals e-emailadressen of BSN-nummers.
  5. Klik vervolgens op ‘Tekst zoeken en verwijderen’. Door op het plusteken te klikken, krijgt u de lijst met gevonden resultaten te zien. Met vinkjes kunt u selecteren welke tekst u wilt verwijderen. U kunt ook kiezen voor ‘Alles markeren’.
  6. Klik in de werkbalk op ‘Toepassen’ en vervolgens op ‘OK’. Sla daarna de pdf op. Nu is de tekst definitief verwijderd.

Verborgen gegevens

Als er namen of telefoonnummers van personen in een pdf-bestand staan, is het wel duidelijk dat u deze gegevens niet mee kunt sturen. Maar soms is het minder voor de hand liggend dat bepaalde informatie gevoelig is. Nadat u persoonsgegevens heeft verwijderd, moet u nog een handeling uitvoeren om een pdf te anonimiseren. Achter de schermen zijn er namelijk een aantal gevoelige gegevens van u en uw organisatie gekoppeld aan het bestand. Zo is degene die de pdf heeft gemaakt als auteur aan het bestand gekoppeld, maar die informatie hoeft niet mee naar de ontvanger. Daar komt bij: u heeft de pdf gemaakt, en de ontvanger bewerkt die, dan lijkt het net alsof u die bewerkingen heeft uitgevoerd. Het is dus beter om het bestand ook op dat vlak te anonimiseren. Bovendien kan de pdf inhoud bevatten die ervoor kan zorgen dat de tekst niet goed wordt weergegeven. Denk daarbij aan scripts, achtergebleven kopieën van verwijderde pagina’s of verborgen tekst. Als u het stappenplan voor persoonsgegevens verwijderen heeft gevolgd, is de werkbalk ‘Gereedschappen’ al toegevoegd. In die werkbalk klikt u op ‘Verborgen gegevens verwijderen’. Door op de plustekens in de resultatenlijst te klikken, kunt u zien wat de speurtocht naar verborgen inhoud heeft opgeleverd. Vink aan wat u wilt weggooien en klik daarna op ‘Verwijderen’.

Pseudonimiseren

Bedenk bij het anonimiseren van een pdf dat u moet zorgen dat het onmogelijk is voor de ontvanger om de identiteit te achterhalen van degene wiens persoonsgegevens in de tekst hebben gestaan. Alleen dan is een pdf geanonimiseerd volgens de AVG. Een alternatief is om de gegevens niet te verwijderen maar te pseudonimiseren. Hierbij vervangt u de persoonsgegevens door pseudonieme informatie. U bewaart vervolgens de sleutel waarmee te achterhalen is welk pseudoniem bij welke persoon hoort. Het is dus mogelijk om de gegevens in het bestand te herstellen met die sleutel. Deze methode wordt vooral toegepast op naw-gegevens bij het maken van analyses.