EDPBs Klargjøring i Januar 2025
De europeiske databeskyttelsesmyndighetenes retningslinjer 01/2025 om pseudonymisering, publisert i januar 2025, introduserte flere klargjøringer med betydelige overholdelsesimplikasjoner for organisasjoner som bruker data anonymiseringsverktøy.
Den mest konsekvente klargjøringen: retningslinjene introduserer begrepet "pseudonymiseringsdomene" — settet av parter som pseudonymiserte data forblir knyttet til virkelige individer. Pseudonymiserte data er personopplysninger under GDPR for enhver part innen pseudonymiseringsdomenet (parter som holder pseudonymiseringsnøkkelen eller som kan utlede den). Retningslinjene sier eksplisitt at pseudonymiserte data ikke endrer sin status som personopplysninger — det forblir underlagt alle GDPR-forpliktelser — selv om det fremstår som ikke-identifiserende for parter utenfor domenet.
Denne klargjøringen påvirker organisasjoner som trodde "tokenisering" eller "pseudonymisering med nøkler" hadde fjernet dataene deres fra GDPRs omfang. I henhold til retningslinjene fra januar 2025, har det ikke skjedd. Organisasjonen som holder pseudonymiseringsnøkkelen forblir en GDPR datakontroller for de pseudonymiserte dataene.
Verktøy Markedsføringsgapet
Mange verktøy som markedsføres som "anonymiserings" verktøy produserer faktisk pseudonymiserte data. Forskjellen:
Ekte anonymisering (irreversibel): Transformasjonen kan ikke reverseres av noen part, ved hjelp av noen midler tilgjengelig nå eller i fremtiden. Ekte anonymisering fjerner data helt fra GDPRs omfang.
Pseudonymisering (reversibel): Transformasjonen kan reverseres ved hjelp av en nøkkel, en oppslagstabell, eller ytterligere informasjon holdt separat. Pseudonymisering fjerner ikke data fra GDPRs omfang — det forblir personopplysninger for parter som holder eller kan utlede nøkkelen.
Token-baserte systemer (som erstatter PII med konsistente tokens og opprettholder en kartleggingstabell), krypteringsbaserte systemer (som erstatter PII med krypterte verdier og opprettholder en dekrypteringsnøkkel), og formatbevarende kryptering produserer alle pseudonymiserte data. Dataene forblir personopplysninger under EDPBs retningslinjer fra januar 2025.
Hashing (påføring av en enveiskrypteringsfunksjon på PII-verdier) er nærmere anonymisering — hvis hash-funksjonen er kryptografisk sikker og ingen preimage-oppslag er gjennomførbart — men EDPBs retningslinjer bemerker at hashing av lav-entropy data (korte strenger som navn eller vanlige identifikatorer) er sårbare for regnbue-tabeller og kanskje ikke utgjør ekte anonymisering.
Overholdelsesstrategi Under De Nye Retningslinjene
DPO-er må revurdere sin dataklassifiseringsstrategi i lys av EDPBs retningslinjer fra januar 2025:
For data klassifisert som "anonymisert" (utenfor GDPRs omfang): revurder om transformasjonen er virkelig irreversibel. Hvis noen part kan reversere den — inkludert datakontrolleren selv — er den pseudonymisert og GDPR gjelder fortsatt.
For data som må forbli utenfor GDPRs omfang (for analyse, arkivering eller forskning): bruk irreversible anonymiseringsmetoder — redigering (permanent fjerning), masking med ikke-gjenvinnbare verdier, eller kryptografisk hashing av høy-entropy data. Dokumenter metoden og grunnlaget for anonymiseringsbestemmelsen.
For data som drar nytte av kontrollert reversibilitet (forskning med re-kontakt krav, revisjonsspor, oppdagelsesforpliktelser): klassifiser eksplisitt som pseudonymiserte personopplysninger, oppretthold alle GDPR-forpliktelser, dokumenter oppbevaringsordningene for pseudonymiseringsnøkkelen i henhold til EDPBs krav til nøkkelseparasjon.
Den eksplisitte fem-metode rammeverket — Erstatte, Redigere, Maskere, Hash, Kryptere — kartlegger direkte til denne klassifiseringen: Erstatte, Maskere, og Kryptere produserer pseudonymiserte data (GDPR gjelder fortsatt). Redigere og Hash (av høy-entropy data) nærmer seg ekte anonymisering (underlagt fullstendighets- og entropianalyse).
Kilder: