Dataskyddsförordningen (“GDPR”) gäller endast för uppgifter som direkt eller indirekt kan användas för att identifiera en individ. Anonym information omfattas således inte av GDPR. Inte heller personuppgifter som anonymiserats på ett sådant sätt att individer inte längre är identifierbara omfattas av GDPR.
Utveckling av nya produkter och tjänster kräver data, särskilt när det gäller applikationer inom artificiell intelligens (“AI”) och digitalisering av processer. GDPR:s höga krav på hantering av personuppgifter kan hindra verksamheter från att nyttja data för dessa ändamål. En lösning på problemet är att använda anonymiserade personuppgifter. Men hur anonymiserar man personuppgifter på ett rättssäkert sätt?
Vad är anonymisering?
För att anonymisera personuppgifter krävs det att tillräckligt med beståndsdelar tas bort från uppgifterna så att enskilda individer inte längre kan identifieras. Det ska inte heller vara möjligt, givet alla tänkbara hjälpmedel, att använda resultatet från anonymiseringsprocessen för att identifiera en individ. Detta innebär att individer inte ska kunna särskiljas på ett sätt som möjliggör identifiering. Vidare ska individer inte kunna identifieras med hjälp av kompletterande information. Det ska inte heller vara möjligt att härleda individers identitet på något annat sätt.
Det finns olika metoder som kan användas för att åstadkomma en effektiv anonymisering av personuppgifter men det kan vara en utmaning att skapa helt anonyma dataset och samtidigt behålla så mycket av den underliggande informationen som krävs för ändamålet.
En effektiv anonymisering gör det omöjligt för alla parter att särskilja en person i ett dataset, förhindra att två poster inom ett dataset länkas (eller att länkningar görs mellan två separata dataset) och förhindra att det går att härleda information från detta dataset. Det räcker normalt inte att enbart ta bort direkta identifierare (en process som också kallas för avidentifiering och som inte är samma sak som anonymisering), utan det är ofta nödvändigt att vidta ytterligare åtgärder för att förhindra identifiering som återigen är beroende av sammanhanget och ändamålen med den behandling för vilken de anonymiserade uppgifterna är avsedda.
De övergripande metoder som vanligen används för anonymisering är randomisering och generalisering. Exempel på särskilda metoder som används är k-anonymitet, tillägg av brus och differential privacy. Tillförlitligheten i de olika anonymiseringsmetoderna bedöms utifrån tre kriterier:
- Går det fortfarande att särskilja en person?
- Går det fortfarande att länka till registerposter som rör en enskild person?
- Går det att härleda uppgifter om en enskild person?
Om du känner till varje metods styrkor och svagheter är det lättare att välja hur en lämplig anonymiseringsgsprocess ska utformas i ett visst sammanhang.
Vad är pseudonymisering?
Med pseudonymiserade uppgifter avses personuppgifter som behandlats på ett sätt som innebär att de inte längre kan tillskrivas en specifik individ utan att använda kompletterande uppgifter. För att personuppgifter ska anses vara pseudonymiserade krävs att dessa kompletterande uppgifter förvaras separat och skyddas av åtgärder som säkerställer att de inte kan användas för att identifiera individen.
En vanligt förekommande fallgrop är att anonymisering blandas ihop med pseudonymisering. Vid pseudonymisering ersätts direkta identifierare som till exempel ett personnummer med en kod, ett slumptal eller något annat element som är lämpligt i sammanhanget. Information som behövs för att kunna identifiera enskilda individer behålls kvar, varför det fortfarande är möjligt att identifiera en individ.
Pseudonymisering är således inte samma sak som anonymisering. Pseudonymisering minskar endast möjligheten att länka ett dataset till en individs ursprungliga identitet och är därför en användbar säkerhetsåtgärd. Till skillnad från anonymiserade personuppgifter omfattas pseudonymiserade personuppgifter av GDPR.
Vill du lära dig mer om dataskydd, personlig integritet och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd, personlig integritet och informationssäkerhet kan du läsa mer här.