Τι Αλλάζει με τις Κατευθυντήριες 2025
Το EDPB εξέδωσε «Guidelines on Pseudonymisation» (EDPB 01/2025, Ιανουάριος 2025):
Βασική αλλαγή: Η ψευδωνυμοποίηση πρέπει να αντέχει σε «reasonable liklihood re-identification» — συμπεριλαμβανομένης της χρήσης δεδομένων τρίτων.
Τι σημαίνει αυτό: Απλά token mappings (π.χ., Name → ID_001) δεν αρκούν εάν κάποιος μπορεί να συνδυάσει με άλλες πηγές δεδομένων.
Νέες Τεχνικές Απαιτήσεις
Κρυπτογραφική ψευδωνυμοποίηση:
- Χρήση HMAC-SHA256 ή AES-256 αντί απλής αντικατάστασης
- Το κλειδί κρυπτογράφησης πρέπει να διαχωρίζεται από τα δεδομένα
Perturbation για αριθμητικά δεδομένα:
- Ηλικία, εισόδημα, τοποθεσία → Προσθήκη τυχαίου θορύβου (differential privacy)
- Καθιστά μη δυνατή ακριβή επαναναγνώριση ακόμα με εξωτερικά δεδομένα
k-anonymity:
- Κάθε εγγραφή πρέπει να είναι αδιάκριτη από τουλάχιστον k-1 άλλες εγγραφές βάσει quasi-identifiers
Ανωνυμοποίηση vs Ψευδωνυμοποίηση (Ενημερωμένο 2025)
| Ψευδωνυμοποίηση (EDPB 2025) | Ανωνυμοποίηση | |
|---|---|---|
| Επαναναγνώριση | Τεχνικά δύσκολη | Τεχνικά αδύνατη |
| GDPR εφαρμογή | ΝΑΙ | ΟΧΙ |
| Μέθοδοι | HMAC, AES, k-anon | Aggregation, noise |
Πηγές: