Pseudonimisatie van cliëntgegevens: privacy versus bruikbare data

Steeds meer zorgorganisaties willen gegevens uit elektronische cliëntdossiers (ECD’s) gebruiken voor wetenschappelijk onderzoek en het verbeteren van de zorg. Maar voordat deze gegevens veilig kunnen worden gebruikt, moeten persoonsgegevens goed worden beschermd. Dat gebeurt onder andere door middel van pseudonimisatie.

Op het eerste gezicht lijkt dat eenvoudig: verwijder namen uit een dossier en de privacy is beschermd. In de praktijk blijkt dat een stuk ingewikkelder.

Geschreven door Kiki Bosch
Gepubliceerd op 1 juli 2026

Het belang van pseudonimisatie

Een zin als:

“Sanne heeft vandaag op woonlocatie De Rooshof in Utrecht deelgenomen aan de dagbesteding.”

kan bijvoorbeeld worden omgezet naar:

“HX6203 heeft vandaag op Locatie 1 deelgenomen aan de dagbesteding.”

Hierbij wordt de oorspronkelijke naam veilig bewaard in een aparte sleutel, zodat alleen personen met toegang tot de sleutel nog weten om wie de zin gaat. Doordat die sleutel niet met onderzoekers gedeeld wordt, werken zij alleen met de gepseudonimiseerde tekst.

Privacygevoelige informatie afhankelijk van de context

Vaak wordt gedacht dat vooral namen privacygevoelig zijn. Toch kunnen ook woonlocaties, e-mailadressen, BSN-nummers, telefoonnummers of specifieke datums ervoor zorgen dat iemand herkenbaar wordt. Welke informatie gevoelig is, hangt bovendien af van de context.

Juist daarom is pseudonimisatie meer dan het vervangen van losse woorden. Een algoritme moet begrijpen welke informatie daadwerkelijk herleidbaar kan zijn.

De complexiteit van vrije tekstvelden

Binnen Carmenda wordt veel gewerkt met ongestructureerde tekst uit cliëntdossiers, zoals gedragsrapportages of huisartsnotities.

Dit soort teksten zijn anders dan gegevens die netjes in vaste invulvelden staan. Zorgprofessionals schrijven snel, gebruiken afkortingen of maken spelfouten. Ook hebben woorden soms meerdere betekenissen.

Dat maakt automatische pseudonimisatie ingewikkeld.

Neem bijvoorbeeld de zin:

“Wil was wat in de war om 11:00.”

Is “Wil” hier een persoonsnaam of het werkwoord willen?

Of:

“Evelien rustig naar De Linde vertrokken.”

Hier is “De Linde” een woonlocatie, maar het zou ook een achternaam kunnen zijn.

Voor mensen is dat onderscheid vaak vanzelfsprekend. Voor een algoritme is dat veel minder eenvoudig.

Regels of machine learning?

Lola vergeleek verschillende manieren om persoonsgegevens automatisch te herkennen.
De huidige versie van de privacytool van Carmenda maakt gebruik van een regelgebaseerd model. Zo’n model werkt met vooraf ingestelde regels en lijsten, bijvoorbeeld met voornamen of bekende locaties. Dat is snel en efficiënt, maar kent ook beperkingen.

Nieuwe namen of locaties moeten steeds worden toegevoegd en woorden met meerdere betekenissen zijn lastig te herkennen. Ook spelfouten kunnen ervoor zorgen dat gevoelige informatie wordt gemist.

Daarom onderzocht Lola ook machine learning-modellen. In plaats van vaste regels leren deze modellen patronen herkennen aan de hand van voorbeelden. Sommige modellen bekijken woorden afzonderlijk, terwijl nieuwere modellen de volledige zin meenemen om de betekenis van woorden beter te begrijpen. Daardoor kunnen zij in veel gevallen beter omgaan met context.

De afweging tussen privacy en bruikbaarheid

Een belangrijk inzicht uit het onderzoek is dat pseudonimisatie nooit volledig zwart-wit is.

Een algoritme dat zoveel mogelijk gegevens verwijdert, beschermt de privacy beter, maar maakt de tekst soms minder bruikbaar voor onderzoek.

Andersom kan een model terughoudender zijn met het vervangen van woorden. Daardoor blijft de tekst beter leesbaar, maar bestaat ook het risico dat gevoelige informatie blijft staan. De afweging tussen privacy en bruikbaarheid staat centraal in het onderzoek.

Daarnaast spelen praktische uitdagingen een rol. Denk aan:

  • namen die met een kleine letter zijn geschreven;
  • woorden die zowel een naam als een gewone term kunnen zijn;
  • spelfouten in rapportages;
  • verschillende schrijfwijzen van dezelfde informatie.

Er is op dit moment niet één algoritme dat in alle situaties de beste keuze is.

Pseudonimisatie als basis voor onderzoek en innovatie

Binnen Carmenda wordt gewerkt aan veilige manieren om zorgdata beschikbaar te maken voor onderzoek en innovatie. De Privacytool speelt daarin een belangrijke rol.

Met haar onderzoek brengt Lola in kaart welke algoritmes het beste aansluiten bij tekst uit cliëntdossiers van mensen met een verstandelijke beperking en waar nog ruimte is voor verbetering.

Met deze kennis kunnen bestaande open-source modellen verder ontwikkeld worden zodat we weten welk taalmodel het beste aansluit bij een specifieke doelgroep, bronbestand of doeleinde. Verantwoord gebruik van zorgdata begint niet alleen bij goede technologie, maar ook bij de vraag hoe we privacy beschermen zonder waardevolle informatie voor onderzoek onnodig te verliezen.

Doorontwikkeling van de Privacytool

Het onderzoek van Lola laat zien dat pseudonimisatie geen standaardoplossing is. Welk algoritme het beste presteert, hangt af van de context, het type bronbestand en het doel waarvoor de data wordt gebruikt. Juist daarom blijft Carmenda de Privacytool verder ontwikkelen.

Binnenkort verwelkomen we een data scientist die zich richt op de verdere ontwikkeling van de pseudonimisatie-algoritmes. Daarbij bouwen we voort op bestaande open-source modellen en onderzoeken we hoe deze beter kunnen aansluiten op zorgdata van mensen met een verstandelijke beperking. Ook werken we aan nieuwe toepassingen op het gebied van AI, Natural Language Processing (NLP) en datakwaliteit, zodat zorgorganisaties cliëntgegevens veilig kunnen voorbereiden voor onderzoek en secundair datagebruik.

Zo werken we stap voor stap aan een toekomst waarin zorgdata veilig én verantwoord kan worden ingezet om de zorg voor mensen met een verstandelijke beperking verder te verbeteren.

De eindpresentatie van Lola is hieronder te bekijken.

Pim van Oirschot - projectleider data & techniek Carmenda
Pim van Oirschot
Projectleider data en techniek