EDPB's Afklaring i Januar 2025
De Europæiske Databeskyttelsesmyndigheders Retningslinjer 01/2025 om Pseudonymisering, offentliggjort i januar 2025, introducerede flere afklaringer med betydelige overholdelsesimplikationer for organisationer, der bruger data anonymiseringsværktøjer.
Den mest konsekvente afklaring: retningslinjerne introducerer begrebet "pseudonymiseringsdomæne" — sættet af parter, for hvem pseudonymiserede data forbliver linkbare til virkelige personer. Pseudonymiserede data er persondata under GDPR for enhver part inden for pseudonymiseringsdomænet (parter, der besidder pseudonymiseringsnøglen eller som kan udlede den). Retningslinjerne angiver eksplicit, at pseudonymiserede data ikke ændrer sin status som persondata — det forbliver underlagt alle GDPR-forpligtelser — selvom det fremstår ikke-identificerende for parter uden for domænet.
Denne afklaring påvirker organisationer, der troede, at "tokenisering" eller "pseudonymisering med nøgler" havde fjernet deres data fra GDPR's anvendelsesområde. Under retningslinjerne fra januar 2025 har det ikke. Den organisation, der holder pseudonymiseringsnøglen, forbliver en GDPR dataansvarlig for de pseudonymiserede data.
Værktøjsmarkedsføringskløften
Mange værktøjer, der markedsføres som "anonymiserings" værktøjer, producerer faktisk pseudonymiserede data. Forskellen:
Ægte anonymisering (irreversibel): Transformationen kan ikke omvendes af nogen part, ved hjælp af nogen midler tilgængelige nu eller i fremtiden. Ægte anonymisering fjerner data helt fra GDPR's anvendelsesområde.
Pseudonymisering (omvendelig): Transformationen kan omvendes ved hjælp af en nøgle, en opslagstabel eller yderligere information, der opbevares separat. Pseudonymisering fjerner ikke data fra GDPR's anvendelsesområde — det forbliver persondata for parter, der holder eller kan udlede nøglen.
Token-baserede systemer (erstatte PII med konsistente tokens og opretholde en kortlægningstabel), krypteringsbaserede systemer (erstatte PII med krypterede værdier og opretholde en dekrypteringsnøgle), og formatbevarende kryptering producerer alle pseudonymiserede data. Dataene forbliver persondata under EDPB's retningslinjer fra januar 2025.
Hashing (anvendelse af en envejs hash-funktion på PII-værdier) er tættere på anonymisering — hvis hash-funktionen er kryptografisk sikker, og ingen præbillede opslag er muligt — men EDPB's retningslinjer bemærker, at hashing af lav-entropy data (korte strenge som navne eller almindelige identifikatorer) er sårbare over for regnbue-tabelangreb og måske ikke udgør ægte anonymisering.
Overholdelsesstrategi Under de Nye Retningslinjer
DPO'er skal genoverveje deres dataklassifikationsstrategi i lyset af EDPB's retningslinjer fra januar 2025:
For data klassificeret som "anonymiseret" (uden for GDPR's anvendelsesområde): genovervej, om transformationen virkelig er irreversibel. Hvis nogen part kan omvende den — inklusive dataansvarlig selv — er det pseudonymiseret, og GDPR gælder stadig.
For data, der skal forblive uden for GDPR's anvendelsesområde (til analyse, arkivering eller forskning): brug irreversible anonymiseringsmetoder — redigering (permanent fjernelse), masking med ikke-gendannede værdier, eller kryptografisk hashing af høj-entropy data. Dokumenter metoden og grundlaget for anonymiseringsbestemmelsen.
For data, der drager fordel af kontrolleret omvendelighed (forskning med genkontaktkrav, revisionsspor, opdagelsesforpligtelser): klassificer eksplicit som pseudonymiserede persondata, oprethold alle GDPR-forpligtelser, dokumenter opbevaringsarrangementerne for pseudonymiseringsnøglen i henhold til EDPB's krav om nøgleadskillelse.
Den eksplicitte fem-metode ramme — Erstat, Rediger, Masker, Hash, Krypter — kortlægger direkte til denne klassifikation: Erstat, Masker og Krypter producerer pseudonymiserede data (GDPR gælder stadig). Rediger og Hash (af høj-entropy data) nærmer sig ægte anonymisering (underlagt fuldstændigheds- og entropianalyse).
Kilder: