I takt med att komponenter, sensorer och nätverk skapar stora datavolymer och nya typer av uppgifter, och kostnaderna för lagring av uppgifter blir alltmer försumbar, finns det ett växande allmänt intresse för och efterfrågan på återanvändning av dessa uppgifter. Vi hjälper dig med avidentifieringsprocessen och säkerställer att din avidentifiering uppfyller dataskyddsförordningens krav.

Vad är avidentifiering?

Enligt dataskyddsförordningen (GDPR) är avidentifiering resultatet av behandling av personuppgifter för att oåterkalleligen förhindra identifiering. När detta utförs bör du beakta flera aspekter beträffande alla hjälpmedel som ”rimligen” kan komma att användas för identifieringen (antingen av dig själv eller av någon annan person).

Varför ska jag avidentifiera data? 

Personuppgifter får inte sparas, det vill säga förvaras i en form som möjliggör identifiering av den registrerade, under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. När personuppgifterna inte längre behövs för de ändamålen ska de antlingen raderas eller avidentifieras.

Avidentifiering kan vara en bra strategi för att behålla data och samtidigt minska riskerna. När ett dataset är helt avidentifierat och enskilda personer inte längre kan identifieras är EU-lagstiftningen om uppgiftsskydd inte längre tillämplig. 

Är avidentifiering samma sak som pseudonymisering?

Pseudonymisering är inte en metod för avidentifiering. Den minskar endast möjligheten att länka ett dataset till den registrerades ursprungliga identitet och är därför en användbar säkerhetsåtgärd.

Vilka avidentifieringsmetoder ska jag använda?

Det finns olika avidentifieringsmetoder som du kan använda men det är svårt att skapa helt anonyma dataset och samtidigt behålla så mycket av den underliggande informationen som krävs för ändamålet.

En effektiv avidentifieringslösning gör det omöjligt för alla parter att särskilja en person i ett dataset, förhindrar att två poster inom ett dataset länkas (eller att länkningar görs mellan två separata dataset) och förhindrar att det går att sluta sig till information från detta dataset.

Därför räcker det i allmänhet inte att enbart se till att direkt identifierande element avlägsnas för att garantera att identifiering av den registrerade inte längre är möjlig. Det är ofta nödvändigt att vidta ytterligare åtgärder för att förhindra identifiering, som återigen är beroende av sammanhanget och ändamålen med den behandling för vilken de avidentifierade uppgifterna är avsedda.

De avidentifieringsmetoder som vanligen används är randomisering och generalisering. Tillförlitligheten i de olika avidentifieringsmetoderna bedöms utifrån tre kriterier: 

  • Går det fortfarande att särskilja en person?
  • Går det fortfarande att länka till registerposter som rör en enskild person?
  • Går det att sluta sig till uppgifter om en enskild person?

Om du känner till varje metods viktigaste starka och svaga sidor är det lättare att välja hur en lämplig avidentifieringsprocess ska utformas i ett visst sammanhang.

Hur kan vi hjälpa dig?

Vi arbetar med komplexa dataskyddsfrågor och hjälper både företag och myndigheter att leva upp till kraven i dataskyddsförordningen.

Du är välkommen att höra av dig till oss för råd om vad din organisation behöver göra för att skapa anonyma dataset och därmed säkerställa efterlevnaden av dataskyddsförordningen.  

Vanliga frågor

Kontakta oss

Relaterad expertis

Back to top