valget af hvilke datafelter der skal pseudonymiseres er delvist subjektivt. Mindre selektive felter, såsom fødselsdato eller postnummer er ofte også inkluderet, fordi de normalt er tilgængelige fra andre kilder og derfor gør en post lettere at identificere. Pseudonymisering af disse mindre identificerende felter fjerner det meste af deres analytiske værdi og ledsages derfor normalt af introduktionen af nye afledte og mindre identificerende former, såsom fødselsår eller et større postnummerområde.
datafelter, der er mindre identificerende, såsom deltagelsesdato, er normalt ikke pseudonymiseret. Det er vigtigt at indse, at dette skyldes, at for meget statistisk værktøj går tabt ved at gøre det, ikke fordi dataene ikke kan identificeres. For eksempel, givet forudgående kendskab til et par deltagelsesdatoer er det let at identificere en persons data i et pseudonymiseret datasæt ved kun at vælge de personer med det mønster af datoer. Dette er et eksempel på et inferens angreb.
svagheden ved pseudonymiserede data før GDPR til inferensangreb overses ofte. Et berømt eksempel er AOL-søgedataskandalen. AOL-eksemplet med uautoriseret genidentifikation krævede ikke adgang til separat opbevarede “yderligere oplysninger”, der var under kontrol af den dataansvarlige, som det nu kræves for pseudonymisering i overensstemmelse med GDPR. Se ny definition af pseudonymisering under GDPR nedenfor.
beskyttelse af statistisk nyttige pseudonymiserede data fra genidentifikation kræver:
- en sund informationssikkerhedsbase
- kontrol af risikoen for, at analytikere, forskere eller andre dataarbejdere forårsager et brud på privatlivets fred
pseudonymet tillader sporing af data til dets oprindelse, hvilket adskiller pseudonymisering fra anonymisering, hvor alle personrelaterede data, der kan tillade backtracking, er blevet renset. Pseudonymisering er et problem i for eksempel patientrelaterede data, der skal videregives sikkert mellem kliniske centre.
anvendelsen af pseudonymisering til e-sundhed har til hensigt at bevare patientens privatliv og datahemmelighed. Det tillader primær brug af lægejournaler af autoriserede sundhedsudbydere og beskyttelse af privatlivets fred sekundær brug af forskere. I USA giver HIPAA retningslinjer for, hvordan sundhedsdata skal håndteres, og dataidentifikation eller pseudonymisering er en måde at forenkle HIPAA-overholdelse på. Imidlertid når almindelig pseudonymisering til beskyttelse af privatlivets fred ofte sine grænser, når genetiske data er involveret (Se også genetisk privatliv). På grund af den identificerende karakter af genetiske data er depersonalisering ofte ikke tilstrækkelig til at skjule den tilsvarende person. Potentielle løsninger er kombinationen af pseudonymisering med fragmentering og kryptering.
et eksempel på anvendelse af pseudonymiseringsprocedure er oprettelse af datasæt til afidentifikationsforskning ved at erstatte identificerende ord med ord fra samme kategori (f.eks. erstatte et navn med et tilfældigt navn fra navneordbogen), men i dette tilfælde er det generelt ikke muligt at spore data tilbage til dets oprindelse.
ny Definition for pseudonymisering under GDPREdit
med virkning fra 25.maj 2018 definerer EU ‘ s generelle databeskyttelsesforordning (GDPR) pseudonymisering for første gang på EU-niveau i artikel 4, stk. 5. I henhold til definitionskrav i artikel 4, stk.5, pseudonymiseres data, hvis de ikke kan tilskrives en bestemt registreret uden brug af separat opbevarede “yderligere oplysninger.”Pseudonymiserede data legemliggør den nyeste teknik inden for Databeskyttelse ved Design og som standard, fordi det kræver beskyttelse af både direkte og indirekte identifikatorer (ikke kun direkte). GDPR-databeskyttelse gennem Design og Standardprincipper som nedfældet i pseudonymisering kræver beskyttelse af både direkte og indirekte identifikatorer, så personoplysninger ikke kan krydshenvises (eller genidentificeres) via “Mosaic-effekten” uden adgang til “yderligere oplysninger”, der opbevares separat af den dataansvarlige. Da adgang til særskilt opbevarede “yderligere oplysninger” er nødvendig for genidentifikation, kan den dataansvarlige begrænse tildelingen af data til en bestemt registreret person til kun at understøtte lovlige formål.
GDPR artikel 25, stk.1, identificerer pseudonymisering som en “passende teknisk og organisatorisk foranstaltning”, og artikel 25, stk. 2, kræver, at dataansvarlige:
“…gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre, at der som standard kun behandles personoplysninger, der er nødvendige for hvert specifikt formål med behandlingen. Denne forpligtelse gælder for mængden af indsamlede personoplysninger, omfanget af deres behandling, opbevaringsperioden og deres tilgængelighed. Sådanne foranstaltninger skal navnlig sikre, at personoplysninger som standard ikke gøres tilgængelige for et ubestemt antal fysiske personer uden den enkeltes indgriben.”
en central kerne af databeskyttelse gennem Design og som standard under GDPR artikel 25 er håndhævelse af teknologikontroller, der understøtter passende anvendelser og evnen til at demonstrere, at du faktisk kan holde dine løfter. Teknologier som pseudonymisering, der håndhæver databeskyttelse ved Design og som standard viser individuelle registrerede, at ud over at komme med nye måder at udlede værdi fra data, organisationer forfølger lige så innovative tekniske tilgange til beskyttelse af privatlivets fred—et særligt følsomt og aktuelt problem i betragtning af epidemien af brud på datasikkerhed over hele kloden.
levende og voksende områder af økonomisk aktivitet—”trust economy”, biovidenskabelig forskning, personlig medicin/uddannelse, tingenes Internet, personalisering af varer og tjenester—er baseret på enkeltpersoner, der har tillid til, at deres data er private, beskyttede og kun bruges til passende formål, der giver dem og samfundet maksimal værdi. Denne tillid kan ikke opretholdes ved hjælp af forældede tilgange til databeskyttelse. Pseudonymisering, som nyligt defineret i GDPR, er et middel til at hjælpe med at opnå databeskyttelse gennem Design og som standard for at tjene og opretholde tillid og mere effektivt betjene virksomheder, forskere, sundhedsudbydere og alle, der er afhængige af dataintegriteten.
GDPR-kompatibel pseudonymisering muliggør ikke kun større respektfuld brug af data i dagens “big data”-verden med datadeling og kombination, men det gør det også muligt for dataansvarlige og processorer at høste eksplicitte fordele under GDPR for korrekt pseudonymiserede data.Fordelene ved korrekt pseudonymiserede data fremhæves i flere GDPR-artikler, herunder:
- artikel 6, stk.4, som en sikkerhedsforanstaltning, der skal bidrage til at sikre foreneligheden af ny databehandling.
- artikel 25 som en teknisk og organisatorisk foranstaltning til at hjælpe med at håndhæve dataminimeringsprincipper og overholdelse af databeskyttelse ved Design og som Standardforpligtelser.
- artikel 32, 33 og 34 som en sikkerhedsforanstaltning, der hjælper med at gøre databrud “usandsynligt at resultere i en risiko for fysiske personers rettigheder og friheder” og derved reducere ansvars-og underretningsforpligtelser for databrud.
- artikel 89, stk. 1, som en beskyttelse i forbindelse med behandling til arkiveringsformål i offentlighedens interesse; videnskabelige eller historiske forskningsformål eller statistiske formål; desuden giver fordelene ved pseudonymisering i henhold til artikel 89, stk. 1, også større fleksibilitet under:
- artikel 5, stk. 1, litra b), med hensyn til formålsbegrænsning;
- artikel 5, stk.1, litra e), for så vidt angår begrænsning af lagring og
- artikel 9, stk. 2, litra j), for så vidt angår ophævelse af det generelle forbud mod behandling af artikel 9, stk. 1, Særlige kategorier af personoplysninger.
- derudover anerkendes korrekt pseudonymiserede data i artikel 29-gruppens udtalelse 06/2014 som værende “…en rolle med hensyn til vurderingen af den potentielle indvirkning af behandlingen på den registrerede…tipping saldoen til fordel for den dataansvarlige” for at hjælpe med at understøtte behandling af legitim interesse som et retsgrundlag i henhold til artikel GDPR 6(1)(f). Fordele ved at behandle personoplysninger ved hjælp af pseudonymiseret aktiveret legitim interesse som retsgrundlag i henhold til GDPR omfatter, uden begrænsning:
- i henhold til artikel 17, stk.1, litra c), hvis en dataansvarlig viser, at de “har overordnede legitime grunde til behandling” understøttet af tekniske og organisatoriske foranstaltninger for at opfylde interesseafvejningstesten, har de større fleksibilitet i at overholde ret til at blive glemt anmodninger.
- i henhold til artikel 18, stk.1, litra d), har en dataansvarlig fleksibilitet til at overholde krav om at begrænse behandlingen af personoplysninger, hvis de kan bevise, at de har tekniske og organisatoriske foranstaltninger på plads, således at den dataansvarliges rettigheder tilsidesætter den registreredes rettigheder korrekt, fordi de registreredes rettigheder er beskyttet.
- i henhold til artikel 20, stk.1, er dataansvarlige, der anvender behandling af legitim interesse, ikke underlagt retten til portabilitet, hvilket kun gælder for samtykkebaseret behandling.
- i henhold til artikel 21, stk.1, kan en dataansvarlig, der anvender behandling af legitim interesse, godtgøre, at de har tilstrækkelige tekniske og organisatoriske foranstaltninger på plads, således at den dataansvarliges rettigheder tilsidesætter den registreredes rettigheder, fordi de registreredes rettigheder er beskyttet; registrerede har dog altid ret i henhold til artikel 21, stk. 3, til ikke at modtage direkte markedsføring som følge af en sådan behandling.