EDPB:s förtydligande i januari 2025
De europeiska dataskyddsmyndigheternas riktlinjer 01/2025 om pseudonymisering, publicerade i januari 2025, introducerade flera förtydliganden med betydande efterlevnadsimplikationer för organisationer som använder verktyg för dataanonymisering.
Det mest betydelsefulla förtydligandet: riktlinjerna introducerar begreppet "pseudonymiseringsdomän" — uppsättningen av parter för vilka pseudonymiserade data förblir kopplade till verkliga individer. Pseudonymiserade data är personuppgifter enligt GDPR för alla parter inom pseudonymiseringsdomänen (parter som innehar pseudonymiseringsnyckeln eller som kan härleda den). Riktlinjerna anger uttryckligen att pseudonymiserade data inte ändrar sin status som personuppgifter — de förblir föremål för alla GDPR-åtaganden — även om de verkar icke-identifierande för parter utanför domänen.
Detta förtydligande påverkar organisationer som trott att "tokenisering" eller "pseudonymisering med nycklar" hade tagit bort deras data från GDPR:s tillämpningsområde. Enligt riktlinjerna från januari 2025 har det inte skett. Den organisation som innehar pseudonymiseringsnyckeln förblir en GDPR-datakontroller för de pseudonymiserade data.
Verktygsmarknadsföringsgapet
Många verktyg som marknadsförs som "anonymiserings" verktyg producerar faktiskt pseudonymiserade data. Skillnaden:
Verklig anonymisering (irreversibel): Transformationen kan inte återställas av någon part, med några medel som finns tillgängliga nu eller i framtiden. Verklig anonymisering tar helt bort data från GDPR:s tillämpningsområde.
Pseudonymisering (reversibel): Transformationen kan återställas med hjälp av en nyckel, en uppslagstabell eller ytterligare information som hålls separat. Pseudonymisering tar inte bort data från GDPR:s tillämpningsområde — det förblir personuppgifter för parter som innehar eller kan härleda nyckeln.
Token-baserade system (som ersätter PII med konsekventa tokens och upprätthåller en mappningstabell), krypteringsbaserade system (som ersätter PII med krypterade värden och upprätthåller en dekrypteringsnyckel), och formatbevarande kryptering producerar alla pseudonymiserade data. Data förblir personuppgifter enligt EDPB:s riktlinjer från januari 2025.
Hashing (tillämpa en envägs hashfunktion på PII-värden) är närmare anonymisering — om hashfunktionen är kryptografiskt säker och ingen förbildsuppslagning är genomförbar — men EDPB:s riktlinjer noterar att hashing av data med låg entropi (korta strängar som namn eller vanliga identifierare) är sårbar för regnbågstabellsattacker och kanske inte utgör verklig anonymisering.
Efterlevnadsstrategi enligt de nya riktlinjerna
DPO:er behöver omvärdera sin dataklassificeringsstrategi med hänsyn till EDPB:s riktlinjer från januari 2025:
För data som klassificeras som "anonymiserade" (utanför GDPR:s tillämpningsområde): omvärdera om transformationen verkligen är oåterkallelig. Om någon part kan återställa den — inklusive datakontrollanten själv — är den pseudonymiserad och GDPR gäller fortfarande.
För data som måste förbli utanför GDPR:s tillämpningsområde (för analys, arkivering eller forskning): använd oåterkalleliga anonymiseringsmetoder — redigering (permanent borttagning), maskering med icke-återvinningsbara värden, eller kryptografisk hashing av data med hög entropi. Dokumentera metoden och grunden för anonymiseringsbestämningen.
För data som gynnas av kontrollerad reversibilitet (forskning med återkontaktkrav, revisionsspår, upptäcktsförpliktelser): klassificera uttryckligen som pseudonymiserade personuppgifter, upprätthåll alla GDPR-åtaganden, dokumentera arrangemangen för förvaring av pseudonymiseringsnyckeln enligt EDPB:s krav på nyckelseparation.
Den explicita femmetodramen — Ersätt, Redigera, Maskera, Hasha, Kryptera — kartlägger direkt till denna klassificering: Ersätt, Maskera och Kryptera producerar pseudonymiserade data (GDPR gäller fortfarande). Redigera och Hasha (av data med hög entropi) närmar sig verklig anonymisering (underkastad fullständighets- och entropianalys).
Källor: