Problemet med kvasi-PII
GDPR Artikel 4 definierar personuppgifter som "all information som rör en identifierad eller identifierbar fysisk person." Nyckelordet är "identifierbar" — inte bara för närvarande identifierad, utan kapabel att identifieras genom ytterligare bearbetning. Ett värde som inte är direkt identifierande men kan kopplas till en verklig person genom interna system är personuppgifter enligt GDPR.
Interna anställd-ID är det vanligaste exemplet. "EMP-EU-123456" identifierar ingen direkt. Men HR-databasen har en tabell: EMP-EU-123456 → Maria Schmidt, Senior Engineer, München. Alla dokument som innehåller EMP-EU-123456 kan kopplas till Maria Schmidt av alla med tillgång till HR-databasen. Enligt GDPR är EMP-EU-123456 personuppgifter — det är information som rör en identifierbar fysisk person.
Samma analys gäller för kundkontonummer (kopplar till CRM-poster), projektkoder (kopplar till klientidentitet i kontraktdatabaser), interna referensnummer för juridiska ärenden (kopplar till deltagare i ärenden i DMS) och medicinska journalnummer i externa system (kopplar till patientjournaler i sjukhusets EHR).
Organisationer som anonymiserar den uppenbara PII (namn, e-postadresser, nationella ID) men lämnar interna identifierare orörda har inte uppnått GDPR-kompatibel anonymisering. De har uppnått de-anonymisering i två steg istället för ett — vilket kräver att en angripare (eller en överdrivet nyfiken anställd) konsulterar HR-databasen istället för att läsa dokumentet direkt.
Täckningsgapet i praktiken
DLA Pipers 2025 GDPR Årsrapport fann att 34% av alla GDPR-böter involverar otillräckliga tekniska åtgärder enligt Artikel 32 — kravet på att implementera lämpliga tekniska skyddsåtgärder. Otillräcklig anonymisering, inklusive bristen på att upptäcka och ta bort kvasi-identifierande interna identifierare, är en dokumenterad kategori av Artikel 32-överträdelser.
EDPB behandlade 900+ fall av konsekvensmekanismen under 2024, vilket återspeglar den ökande volymen av verkställighetskoordinering över EU:s medlemsstater. Gränsöverskridande verkställighet (där den ledande tillsynsmyndigheten i ett land koordinerar med andra) innebär att en Artikel 32-överträdelse i en datamängd som delas över EU-gränser kan utlösa koordinerad verkställighet.
Lösningen utan kodmönster
För ett globalt logistikföretags compliance-team som anonymiserar anställdas register för en extern HR-revision:
Anställd-ID följer formatet EMP-[REGION]-[0-9]{6} — EMP-EU-123456, EMP-APAC-789012, EMP-AMER-345678. Compliance-teamet ger 3 exempel till AI-mönsterhjälparen. AI:n returnerar: upptäckt mönster EMP-[A-Z]{2,4}-d{6}; matchar alla angivna exempel; föreslagen enhetsnamn: ANSTÄLLD-ID; test mot gränsfall inklusive olika regionskoder.
Teamet testar mot 10 ytterligare prover, inklusive EMP-DACH-000001 och EMP-APAC-999999. Mönstret valideras korrekt. Den anpassade enheten sparas i GDPR-kompatibilitetspresetet som delas med alla teammedlemmar. Alla 47 dokument i HR-revisionspaketet behandlas i en batch. Alla anställd-ID ersätts med rollbaserade pseudonymer. Revisionsföretaget får dokument som inte kan kopplas till enskilda anställda genom någon intern databas.
Källor: