Skydd av kodnyckeln vid pseudonymisering - styrning av kompletterande uppgifter och vem som får låsa upp en pseudonym

Publicerad:
Av: Redaktionen

Det pseudonymiserade materialet får ofta mest uppmärksamhet. Men den verkligt känsliga delen är ofta inte själva pseudonymiserade kopian utan det som kallas kompletterande uppgifter. Det kan vara översättningstabellen som kopplar en pseudonym till en fysisk person eller en krypteringsnyckel som kan låsa upp identiteten. Om dessa kompletterande uppgifter exponeras är hela pseudonymiseringen bruten.

Vad är kompletterande uppgifter

Kompletterande uppgifter är all information som krävs för att koppla det pseudonymiserade materialet till en faktiskt identifierbar individ. Det kan vara en tabell som mappar löpnummer till personnummer, en separat fil med namn och kontaktuppgifter eller en nyckel som används för att dekryptera en pseudonym tillbaka till klartext.

Enligt GDPR är kompletterande uppgifter i sig personuppgifter. Du måste alltså skydda dem som känslig information.

Separat lagring och tekniskt skydd

Kodnyckeln eller kopplingstabellen får inte ligga i samma system, samma databas eller samma behörighetsdomän som det pseudonymiserade materialet. Den ska hanteras separat med strängare skydd. Det kan innebära en separat krypterad lagringsmiljö, striktare nätverkszon, hårdare autentisering eller hårdare loggning.

En vanlig modell är asymmetrisk kryptering. Många kan skapa pseudonymer med en publik nyckel. Endast en skyddad funktion med tillgång till den privata nyckeln kan göra återidentifiering. Då kan du samla in och bearbeta data från flera håll utan att alla kan låsa upp identiteter.

Åtkomstnivåer och ansvar

Åtkomst till kompletterande uppgifter ska vara begränsad och dokumenterad. En vanlig modell är tre nivåer.

  • Nivå 1. Användare av pseudonymiserat material i vardagen, till exempel analytiker eller utvecklare. Ingen åtkomst till nyckeln. Ingen möjlighet att se klartextidentiteter.

  • Nivå 2. En särskilt utsedd funktion som har behörighet att återidentifiera vid behov, till exempel vid incidentutredning, klagomålshantering eller lagkrav. Åtkomsten ska vara dokumenterad och motiverad varje gång.

  • Nivå 3. Revision och kontroll. Den här nivån kan granska loggar och följa upp att processen används rätt men kan inte själv låsa upp pseudonymer.

Om alla i praktiken kan nå både pseudonymiserat material och kompletterande uppgifter så är det inte pseudonymisering i GDPRs mening. Då är det bara klartextdata utspritt i två filer.

Loggning och spårbarhet

Varje gång någon begär att få veta vem som ligger bakom en viss pseudonym eller slår upp identiteten till en pseudonym ska det loggas. Loggen ska innehålla vem som gjorde det, när det gjordes, vilket ärende som motiverade det och vilken rättslig grund som användes.

Loggarna är själva känsliga. De kan avslöja att en viss individ har varit föremål för utredning eller kontroll. Därför ska även loggar hanteras enligt er informationsklassning.

Gallring och arkivering av nyckeln

Kompletterande uppgifter får bara sparas så länge det finns ett tydligt dokumenterat behov. När syftet är uppfyllt ska de antingen gallras eller, i myndighetsfall, bevaras enligt arkivregler och med korrekt sekretess.

I offentlig sektor betraktas nyckeln ofta som en allmän handling. Den kan därför omfattas både av arkivlagen och av offentlighetsprincipen. Myndigheten måste bestämma hur länge nyckeln ska bevaras, vem som ansvarar för den och hur sekretessprövning ska ske om någon begär ut materialet.

Förhindra parallella nycklar

Ett vanligt fel i praktiken är att olika team börjar skapa egna Excel filer eller extratabeller med delar av kodnyckeln. Varje sådan kopia ökar risken dramatiskt och gör att du tappar kontrollen.

Huvudregel. Ingen får skapa eller spara egna lokala kopplingar mellan pseudonym och verklig identitet utanför den kontrollerade processen.

Sammanfattning

Skyddet av kodnyckeln är navet i en seriös pseudonymisering. Kompletterande uppgifter måste hanteras separat. Åtkomster måste vara strikt rollstyrda. Alla upplåsningar ska loggas och följas upp. Det måste finnas tydliga beslut om bevarande, arkivering och gallring.

Utan detta finns det i praktiken inget integritetsskydd. Med rätt styrning skapar du kontrollerad återidentifiering när det verkligen behövs. På ett sätt som både uppfyller lagkraven och skyddar individen.

Se även Livscykelhantering av pseudonymer och Juridiska krav vid pseudonymisering.

Nästa steg. Vi kan hjälpa till att designa och införa en styrd modell för nyckelhantering. Separat lagring, rollstyrd återidentifiering, loggning och gallring. Det är ofta den mest kritiska kontrollpunkten i hela pseudonymiseringsflödet.

Avidentifiera Avidentifiera
Automatisera borttagning av känsliga uppgifter. © 2025 Avidentifiera |
Avidentifiera Avidentifiera Cookies
Vi använder cookies för att säkerställa webbplatsens funktionalitet. Du kan när som helst justera inställningar för analys och marknadsföring (avstängt som standard). Läs vår Cookiepolicy.