Sikkerhedsforanstaltninger › Tekniske Foranstaltninger

Anonymisering

Anonymisering er processen, hvor persondata behandles, så det bliver permanent umuligt at identificere den registrerede. Korrekt anonymiserede data falder helt uden for GDPRs anvendelsesområde.

Tilbage til ordbog

Hvad er anonymisering?

Anonymisering er en proces, der gør persondata permanent uigenkendeligt. Når data er anonymiseret korrekt, kan ingen (heller ikke den organisation, der har foretaget anonymiseringen) identificere de personer, dataene handler om.

Det er en afgørende sondring i GDPR, fordi forordningen kun gælder for persondata. Kan du bevise, at dine data er reelt anonymiserede, gælder GDPR ikke for dem. Det giver din organisation frihed til at bruge dataene til statistik, forskning og analyse uden de sædvanlige krav til behandlingsgrundlag og registreredes rettigheder.

Men kravene er høje. Ifølge GDPR-fortalens betragtning 26 skal anonymiseringen være irreversibel. Du skal tage højde for alle rimelige midler, der kan bruges til at re-identificere personerne, herunder kombination med andre datasæt.

Anonymisering vs. pseudonymisering

De to begreber forveksles ofte, men den juridiske forskel er fundamental:

Anonymisering er irreversibel. Forbindelsen mellem data og person er permanent brudt. Resultatet er ikke persondata.
Pseudonymisering erstatter direkte identifikatorer med koder eller tokens. En separat nøgle kan tilbageføre dataene til den oprindelige person. Resultatet er stadig persondata.

Pseudonymisering er en teknisk og organisatorisk foranstaltning, der reducerer risikoen ved et databrud, men den fjerner ikke dine forpligtelser under GDPR. Kun ægte anonymisering gør det.

I praksis bruger mange organisationer pseudonymisering som et mellemtrin, fordi fuld anonymisering kan ødelægge dataenes analytiske værdi. Overvej nøje, hvad du har brug for dataene til, før du vælger tilgang.

Teknikker til anonymisering

Der findes flere anerkendte metoder til anonymisering. De kan bruges enkeltvis eller kombineres for at opnå stærkere beskyttelse:

Generalisering: Du fjerner detaljer, fx ved at erstatte en fødselsdato med et årsinterval eller en præcis adresse med et postnummerområde.
Støjtilsætning: Du tilføjer tilfældige variationer til data, så individuelle værdier ikke kan genkendes, mens det samlede mønster bevares.
k-anonymitet: Hver post i datasættet er identisk med mindst k-1 andre poster for de kvasi-identificerende attributter.
l-diversitet: En udvidelse af k-anonymitet, der sikrer variation i de følsomme attributter inden for hver gruppe.
Differential privacy: En matematisk ramme, der tilføjer kontrolleret støj til forespørgsler mod et datasæt, så ingen enkeltpersons data kan udledes.

Datatilsynet og det europæiske databeskyttelsesråd (EDPB) anbefaler, at du dokumenterer din valgte teknik og udfører regelmæssige risikovurderinger af re-identifikation.

Betydning for GDPR-compliance

Anonymisering spiller en central rolle i dataminimering. Hvis du kan opfylde dit formål med anonymiserede data, har du pligt til at vælge den løsning. Det følger af GDPRs princip om, at du ikke behandler flere personoplysninger end nødvendigt.

Anonymisering er også relevant for opbevaring. Når den oprindelige formålsbegrænsning udløber, kan anonymisering være et alternativ til sletning. Du bevarer dataenes analytiske værdi uden at opbevare persondata ud over den lovlige periode.

Husk, at selve anonymiseringsprocessen er en behandling af persondata. Du skal have et gyldigt behandlingsgrundlag for at foretage anonymiseringen, og processen skal fremgå af din fortegnelse over behandlingsaktiviteter.

En konsekvensanalyse (DPIA) kan være nødvendig, hvis anonymiseringen indebærer behandling af følsomme personoplysninger i stor skala. Din DPO bør inddrages tidligt i processen.

Ofte stillede spørgsmål om anonymisering

Hvad er forskellen på anonymisering og pseudonymisering?

Anonymisering er irreversibel og fjerner permanent muligheden for at identificere en person. Pseudonymisering erstatter identificerende oplysninger med koder, men kan tilbageføres med en nøgle. Pseudonymiserede data er stadig persondata under GDPR, mens anonymiserede data ikke er.

Er anonymiserede data omfattet af GDPR?

Nej. Når data er korrekt anonymiseret, falder det uden for GDPRs anvendelsesområde. Det kræver dog, at anonymiseringen er reel og irreversibel, og at der ikke findes supplerende oplysninger, der kan bruges til at re-identificere personerne.

Hvilke teknikker bruges til anonymisering?

De mest anvendte teknikker er generalisering (hvor detaljer fjernes), støjtilsætning (hvor tilfældige data tilføjes), k-anonymitet, l-diversitet og differential privacy. Valget af teknik afhænger af datatypen og formålet med analysen.

Hvornår bør man anonymisere persondata?

Du bør anonymisere data, når du vil bruge dem til statistik, forskning eller analyse, men ikke har brug for at kunne identificere enkeltpersoner. Det er også relevant, når du vil opbevare data ud over den oprindelige opbevaringsperiode.