Pseudonymisering

Pseudonymisering er en procedure til dataforvaltning og afidentificering, hvorved personoplysninger erstattes af en eller flere uafhængige identifikatorer eller pseudonymer.^[1] Et enkelt pseudonym for hvert erstattet felt eller samling af erstattede felter gør dataposten mindre identificerbar, mens den forbliver egnet til dataanalyse og databehandling.

Pseudonymisering kan være en måde at overholde EU's Databeskyttelsesforordnings (GDPR) krav om sikker opbevaring af personoplysninger.^[2] Det er god etisk skik at afidentificere de data, man konkret analysere, for ikke at bryde individernes privatliv og for ikke at lade individernes identitet have indflydelse på analysen. Individer, der får deres data behandlet af en virksomhed eller myndighed, har imidlertid som udgangspunkt ret til indsigt i, slettelse af og rettelse af deres egne data, hvilket kræver, at data til en vis grad stadig skal være personhenførbare. Pseudonymiserede data kan gendannes til deres oprindelige tilstand ved tilføjelse af information, der igen gør det muligt at identificere enkeltpersoner. I modsætning hertil har anonymisering til formål at forhindre genidentificering af personer i datasættet.^[3]

Visualisering af pseudonymiseringsproces

Et eksempel på tilfælde, hvor pseudonymisering er gavnligt, er i samfundsvidenskabelige undersøgelser, hvor personer indgår med CPR-numre. I datasættet bestående af individer kan der i en oprindelig ikke-pseudonymiseret udgave være en kolonne med CPR-nummer. For at pseudonymisere kan denne CPR-kolonne adskilles resten, men gemmes i et nyt datasæt. For at kunne knytte CPR med datasættet igen gives hvert CPR et unikt identifikationsnummer, som er ens i både CPR-datasættet og analyse-datasættet. På den måde kan individerne ikke spores, hvis man blot er i besiddelse af analyse-datasættet, men med adgang til begge datasæt kan man genidentificere individerne.

Se også redigér

Referencer redigér

^ "General Data Protection Regulation". 4(5).{{cite web}}: CS1-vedligeholdelse: location (link)
^ Skiera, Bernd (2022). The impact of the GDPR on the online advertising market. Klaus Miller, Yuxi Jin, Lennart Kraft, René Laub, Julia Schmitt. Frankfurt am Main. ISBN 978-3-9824173-0-1. OCLC 1303894344.
^ Footnote 2 of the Adoption by the European Commission of the Implementing Decision (EU) 2021/914 on Standard Contractual Clauses for the Transfer of Personal Data to Third Countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on 4 June 2021 states that anonymisation “requires rendering the data anonymous in such a way that the individual is no longer identifiable by anyone, in line with recital 26 of Regulation (EU) 2016/679, and that this process is irreversible.”

[1] "General Data Protection Regulation". 4(5).{{cite web}}: CS1-vedligeholdelse: location (link)

[2] Skiera, Bernd (2022). The impact of the GDPR on the online advertising market. Klaus Miller, Yuxi Jin, Lennart Kraft, René Laub, Julia Schmitt. Frankfurt am Main. ISBN 978-3-9824173-0-1. OCLC 1303894344.

[3] Footnote 2 of the Adoption by the European Commission of the Implementing Decision (EU) 2021/914 on Standard Contractual Clauses for the Transfer of Personal Data to Third Countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on 4 June 2021 states that anonymisation “requires rendering the data anonymous in such a way that the individual is no longer identifiable by anyone, in line with recital 26 of Regulation (EU) 2016/679, and that this process is irreversible.”

[1]

[2]

[3]