Innan pseudonymisering införs behöver du visa att behandlingen är laglig, nödvändig och proportionerlig och att integritetsriskerna för den enskilda är hanterade. Det här är inte bara teknik. Det är ett krav enligt dataskyddsförordningen.
1. Definiera syfte och nödvändighet
Först måste du beskriva varför uppgifterna ska behandlas och varför pseudonymisering behövs. Du behöver kunna formulera ändamålet tydligt. Exempel kan vara kvalitetsuppföljning i verksamheten, statistisk analys, processkontroll, styrning och resursplanering, utveckling och test av digitala tjänster eller modellträning inom AI.
Du ska också kunna motivera varför ändamålet inte kan uppnås med svagare metoder, till exempel helt anonymiserade data eller aggregerad statistik. Det här är själva proportionalitetsbedömningen.
2. Fastställ rättslig grund
Nästa steg är att fastställa rättslig grund för behandlingen av personuppgifter i det specifika ändamålet. Det kan till exempel vara rättslig förpliktelse, myndighetsutövning, uppgift av allmänt intresse, avtal eller berättigat intresse.
Utan rättslig grund är behandlingen otillåten även om du pseudonymiserar. Pseudonymiserade uppgifter är fortfarande personuppgifter så länge de kan kopplas tillbaka till en individ med hjälp av kompletterande uppgifter.
3. Informationsklassning
Informationsklassning är en strukturerad bedömning av materialets skyddsvärde. Du bedömer vilka uppgifter som ingår, hur känsliga de är, hur allvarliga konsekvenserna kan bli om de röjs, ändras eller går förlorade och vilka legala krav som gäller.
Resultatet styr vilka tekniska skydd som krävs. Exempel. Kryptering. Åtkomstkontroll. Loggning. Förvaring inom Sverige eller inom EU. Begränsad möjlighet till återidentifiering.
4. Riskanalys. Hot, sannolikhet och konsekvens
Du ska identifiera realistiska hot och scenarier. Exempel på risker är obehörig åtkomst till den kompletterande nyckeln som kopplar pseudonym till individ, felutlämnande till extern part, för bred intern åtkomst eller att någon försöker återidentifiera individer utan mandat.
För varje risk bedömer du sannolikhet och skada. Därefter definierar du motåtgärder som behövs för att få ner risken till en acceptabel nivå. Åtgärderna ska vara konkreta och genomförbara. Till exempel krav på separat lagring av nyckel, strikt rollstyrning av återidentifiering och total loggning av varje upplåsning.
5. Behörighetsmodell och åtkomstbegränsning
Ett centralt krav vid pseudonymisering är att den som arbetar med det pseudonymiserade materialet inte automatiskt ska kunna återidentifiera individer.
Du måste beskriva vilka roller som får göra vad. Till exempel att utvecklare, dataanalytiker och kvalitetsuppföljare kan använda pseudonymiserade uppgifter utan att se identiteter. Samtidigt ska endast en särskilt utsedd funktion kunna göra återidentifiering och då bara vid dokumenterat behov.
6. DPIA. Konsekvensbedömning enligt artikel 35
Om riskanalysen visar att behandlingen sannolikt leder till hög risk för individers rättigheter och friheter måste du göra en konsekvensbedömning enligt artikel 35 i GDPR. Det kallas DPIA.
En DPIA ska beskriva den planerade behandlingen, ändamål, nödvändighet, proportionalitet, risker för individen och vilka åtgärder som ska hantera dessa risker. I vissa fall, om det kvarstår hög risk trots åtgärder, måste tillsynsmyndigheten rådfrågas innan behandlingen startas.
7. Dokumentation och spårbarhet
Allt ovan måste dokumenteras. Det gäller ändamål, rättslig grund, informationsklassning, riskanalys, identifierade hot, vidtagna skyddsåtgärder, ansvariga roller, beslut om åtkomstkontroll samt om DPIA har gjorts eller inte.
Dokumentationen är det du visar upp om du blir granskad. Den visar att behandlingen är nödvändig och proportionerlig och att integritetsriskerna är hanterade.
Sammanfattning
Innan pseudonymisering tas i bruk måste du göra din hemläxa. Du ska visa ändamål och laglig grund, göra informationsklassning, genomföra riskanalys och fastställa åtgärder, definiera åtkomstmodellen och vid behov göra en DPIA enligt artikel 35.
Se även Checklista för säker pseudonymisering och Så inför du pseudonymisering på ett säkert sätt.
Nästa steg. Vi kan hjälpa dig genomföra riskanalys och DPIA och ta fram dokumentationen som behövs för att visa nödvändighet, proportionalitet och kontrollerad åtkomst.
Avidentifiera