Många organisationer fokuserar på själva ögonblicket när en pseudonym skapas. Men den stora risken och kostnaden ligger ofta i allt som händer efteråt. Pseudonymen och kopplingen till den riktiga identiteten är ett informationsobjekt som måste styras över tid. Det handlar om spårbarhet, åtkomst, bevarandetid och gallring.
Skapande
Varje pseudonym måste skapas på ett kontrollerat sätt. Det ska vara tydligt vilken metod som används, vem som har utfört pseudonymiseringen och när det skedde.
Om pseudonymen bygger på en tabell med kopplingen verklig identitet till pseudonym ska den tabellen hanteras separat som kompletterande uppgift enligt GDPR. Den ska skyddas tekniskt och organisatoriskt.
Användning
Pseudonymiserat material får bara användas i det syfte som har godkänts. Åtkomsten ska vara rollstyrd. Analytiker, utvecklare och kvalitetsuppföljare ska kunna arbeta med pseudonymiserade uppgifter utan att kunna se identiteterna i klartext.
En särskilt utsedd funktion får vid behov återskapa kopplingen vid till exempel rättsutredningar eller incidenthantering. Det får bara ske om det finns rättslig grund och ska alltid loggas.
Versionshantering
Det är vanligt att samma individ förekommer i flera datamängder vid olika tidpunkter. Då måste du kunna svara på om det är samma pseudonym som används varje gång eller om du har bytt pseudonym över tid.
Att använda konsekventa pseudonymer gör det lättare att följa ett ärende eller beteendemönster över längre tid. Men det ökar också risken för profilering. Att regelbundet införa nya pseudonymer kan minska risken men påverkar spårbarheten. Den avvägningen ska vara dokumenterad och godkänd.
Bevarande och arkivering
Kopplingstabellen eller krypteringsnyckeln som binder pseudonym till identitet kan vara arkivpliktig information i offentlig sektor. Samtidigt gäller principen om lagringsminimering i GDPR.
Det betyder att du bara får spara kopplingen så länge den behövs för ett dokumenterat ändamål eller med stöd i arkivregler. När ändamålet inte längre gäller måste du gallra eller fatta ett tydligt bevarande beslut enligt arkivlagstiftning.
Gallring
Förr eller senare ska en pseudonym eller en kopplingstabell förstöras eller arkiveras. Gallring ska inte ske ad hoc utan följa fastställda regler. Du behöver ange vem som får besluta om gallring, hur gallringen utförs och hur du säkerställer att det inte ligger kvar kopior i loggar, exportfiler eller e postbilagor.
Spårbarhet
Du måste kunna visa hur en viss pseudonym uppstod och hur den har använts över tid. Det gäller särskilt när du delar pseudonymiserade uppgifter mellan enheter eller organisationer.
Spårbarheten är grunden för att kunna upptäcka otillåten användning eller otillåten återidentifiering. Därför ska varje upplåsning och varje åtkomst till kompletterande uppgifter loggas med vem, när, varför och vilket ärende.
Sammanfattning
Livscykelhantering är en förutsättning för seriös pseudonymisering. Du behöver styrning för skapande, användning, versionshantering, bevarande, gallring och spårbarhet. Utan detta riskerar pseudonymisering att bli en ny känslig databas som ingen äger.
Se även Skydd av kodnyckeln vid pseudonymisering och Så inför du pseudonymisering på ett säkert sätt.
Nästa steg. Vi kan hjälpa dig att sätta upp styrning för livscykeln. Skapande, loggning, återidentifiering, arkivering och gallring. Allt dokumenterat för revision.
Avidentifiera