Många organisationer vill använda molntjänster, analysera stora datamängder och dra nytta av avancerad infrastruktur som kanske inte finns inom EU. Frågan blir ofta. Räcker det att pseudonymisera personuppgifterna innan de skickas. Svaret är att pseudonymisering ibland kan vara en del av lösningen men det finns tydliga gränser.
När pseudonymisering kan fungera som skyddsåtgärd
Pseudonymisering kan vara en kompletterande skyddsåtgärd vid överföring om följande villkor är uppfyllda.
Mottagaren får bara pseudonymiserade uppgifter. Inte klartextidentiteter.
Mottagaren har inte tillgång till nyckeln som kopplar pseudonym till verklig identitet.
Nyckeln kontrolleras inom EU eller i en miljö med motsvarande skyddsnivå.
Det är inte realistiskt för mottagaren att själv pussla ihop vem som är vem med hjälp av annan information.
I det här läget kan du ofta dela data för analys, felsökning eller rapportering utan att lämna ut hela identiteten.
När pseudonymisering inte är tillräcklig
I vissa driftmodeller måste leverantören kunna se uppgifterna i klartext för att tjänsten ska fungera. Till exempel vid realtidsinloggning, kundsupport eller manuell handläggning. Då faller idén om pseudonymisering som ensam skyddsåtgärd.
Om leverantören behöver se klardata för att kunna leverera tjänsten räcker det inte att skicka pseudonymiserade kopior av samma data vid sidan av. Du måste i stället se till att behandlingen av personuppgifter sker i en miljö som uppfyller EU kraven från början.
Komplexitet i praktiken
Att försöka drifta en hel tjänst där data löpande pseudonymiseras, låses upp, bearbetas och pseudonymiseras igen kan bli tekniskt komplext, dyrt och svårt att hantera säkert över tid. Du riskerar dessutom att bygga parallella nycklar och lokala kopior som ökar risken i stället för att minska den.
Kontroll över nyckeln
För att pseudonymisering ska räknas som skydd vid överföring måste du ha kontroll över den kompletterande uppgiften, till exempel översättningstabellen eller krypteringsnyckeln. Mottagaren får endast det pseudonymiserade materialet och kan inte själv koppla det till en individ.
Du måste också bedöma mottagarlandets lagstiftning. Kan en myndighet i mottagarlandet tvinga fram tillgång på ett sätt som i praktiken gör återidentifiering möjlig ändå. Om svaret är ja räcker pseudonymisering inte som skydd.
Avtal och ansvar
Om en extern aktör behandlar pseudonymiserade uppgifter åt dig är den normalt personuppgiftsbiträde. Ni måste avtala om vem som får göra vad, hur nycklar hanteras, hur åtkomst loggas, hur incidenter ska rapporteras och vad som händer när samarbetet avslutas.
Ni måste också fastställa hur länge pseudonymiserat material och tillhörande nycklar får sparas och vem som ansvarar för gallring eller bevarande.
Praktisk rekommendation
I praktiken är den mest hållbara vägen ofta att se till att själva behandlingen av personuppgifter sker i en miljö som uppfyller EU kraven från början. Därefter kan du använda pseudonymisering för att begränsa intern spridning, samarbeta med leverantörer och möjliggöra analys.
Med andra ord. Använd pseudonymisering som ett säkerhetslager i din arkitektur. Använd den inte som ett akut plåster för att täcka över bristande dataskydd.
Sammanfattning
Pseudonymisering kan vara juridiskt relevant som skyddsåtgärd vid överföring utanför EU. Men bara om mottagaren inte får tillgång till nyckeln och inte kan återidentifiera personerna med rimliga medel. Om leverantören behöver se klardata eller om nyckeln lämnar din kontroll räcker inte pseudonymisering.
Se även Pseudonymisering som möjliggörare och Juridiska krav vid pseudonymisering.
Nästa steg. Vill du kunna använda moln men ändå hålla kontroll på identiteter och nycklar. Vi kan hjälpa dig med arkitektur, avtalskrav och tekniska spärrar innan data lämnar EU.
Avidentifiera