Anonymisér vs pseudonymisér: €20 mio. på spil
Artikel 83 fastsætter maksimalbøder på €20 millioner eller 4 % af den globale årlige omsætning. Et juridisk spørgsmål driver denne risiko: gælder loven for dit datasæt?
Anonymisering fjerner anvendelsesområdet. Pseudonymisering gør det ikke. Det skel er stort.
De to definitioner i klare termer
Betragtning 26 sætter barren for anonymisering. En person skal være "ikke eller ikke længere identificerbar". Testen er bred. Den dækker alle midler, der "med rimelighed kan forventes at blive brugt". Det inkluderer den dataansvarlige. Det dækker også enhver databehandler og enhver tredjepart.
Artikel 4(5) definerer pseudonymisering. Oplysninger er pseudonymiserede, når en nøgle kan vende dem tilbage. Fjern nøglen, og du har stadig dataene. Disse yderligere data skal holdes adskilt. Det er ikke anonymisering.
Pseudonymiserede oplysninger er stadig personoplysninger. Loven gælder fuldt ud. Der er ingen undtagelse fra anvendelsesområdet. Punktum.
Hvad en forkert etiket koster
At behandle et pseudonymiseret datasæt som anonymt skaber fem problemer på én gang:
- Forkerte ROPA-indførsler i henhold til Artikel 30
- Ingen proces for registreredes rettigheder til indsigt, sletning eller portabilitet
- Ingen opbevaringsplan — der eksisterer ingen sletningstrigger
- Ingen overførselsforanstaltninger til grænseoverskridende arbejde
- Ingen sletningssti til anmodninger om retten til sletning
Hvert skel er et separat brud. Alle fem kan befinde sig i én pipeline.
Håndhævelsessignalet fra 2025
I 2025 gennemførte EDPB en koordineret håndhævelsesøvelse. Rapporten nævnte én tilbagevendende fejl: "ineffektive anonymiseringsteknikker brugt som alternativ til sletning". Datatilsyn reviderer nu kvaliteten af anonymisering. De kontrollerer mere end blot, om et trin eksisterer. Trinnet skal virke.
Et tokeniseret datasæt med en opslagstabel er pseudonymiseret. Det er ikke anonymt. Det har en nøgle. Nøglen kan vende det tilbage. At kalde det anonymt er præcis den fejl, 2025-rapporten retter sig mod.
At vælge den rigtige metode
Sand anonymisering — uden for anvendelsesområdet. Brug Slet. PII er væk uden noget link tilbage. Du kan også hashe værdier med høj entropi uden nogen preimage-sti. Dokumentér grundlaget. Ingen juridiske forpligtelser knytter sig til outputtet.
Pseudonymisering — inden for anvendelsesområdet. Brug Erstat, Maskér eller Kryptér. Loven gælder fuldt ud. Pseudonymisering reducerer skader ved et brud. Det reducerer ikke juridiske forpligtelser.
Kontrolleret reversibilitet — forskning eller revision. Brug Kryptér med klientholdnøgler. Nøgleforvaring skal overholde EDPB 05/2022-reglerne om nøgleadskillelse. Angiv domænet i DPIA'en.
Et reelt brugscenarie
Et firma sælger "anonymiserede" kundeoplysninger til forskere. De anvender Slet-metoden. PII er væk. Ingen tokentabel. Ingen hash-preimage. Genbeskrivelse har ingen sti.
DPO'en skriver dette i DPIA'en. Metode brugt. Identifikatortyper. Hvorfor det ikke kan fortrydes. Residualrisikoniveau. Outputtet falder uden for anvendelsesområdet. Rettigheder for registrerede og overførselsregler gælder ikke for forskningskopier.
Metoden stemmer overens med påstanden. Det er den korrekte proces. Den holder i en revision.
Hvorfor journalen er vigtig
Et firma kan ikke blot hævde anonymisering. Påstanden skal have en journal. DPIA'en skal vise fire ting. Hvilke identifikatorer der var dækket. Hvilken metode der blev brugt. Hvorfor genbeskrivelse ikke har nogen sti. Hvad residualrisikoniveauet er.
Uden den journal behandler en revision datasættet som inden for anvendelsesområdet. Det fulde sæt af forpligtelser gælder. ROPA-indførslen skal eksistere. Overførselsforanstaltningerne skal eksistere. Sletningsstien skal eksistere. Ingen forpligtelser bortfalder uden bevis.
For hvordan sletteret interagerer med anonymiserede optegnelser, se GDPR's ret til sletning og EDPB 2025-vejledning. For overførselsregler ved deling af oplysninger på tværs af grænser, se dataoverførsels-compliance og TikTok-bøden.