Anonymisering av personopplysninger – anbefaling fra Artikkel 29-gruppen

Bilde: Teknologirett

Anonymiserte data, dvs. data hvor personopplysninger er fjernet eller maskert, regnes ikke som personopplysninger og kan overføres til tredjeparter og land utenfor EU/EØS uten at de strenge kravene etter personvernlovgivningen gjelder. Men det stilles meget strenge krav til hvordan anonymiseringen skjer for at dataene skal være unntatt lovkravene.

Personopplysninger er alle opplysninger som med rimelig midler kan tilbakeføres til en individuell person. Dersom data, som f.eks. kontoopplysninger, inneholder personopplysninger, så kan ikke dataene overføres til tredjepart eller til land utenfor EU/EØS for f.eks. testeformål uten at det foreligger et lovgrunnlag for slik overføring. Slikt grunnlag vil ofte ikke foreligge, men dataene kan da anonymiseres før overføring. Anonymiserte data er ikke å regne som personopplysninger, og er unntatt fra lover og regler som regulerer personopplysninger. Men det stilles meget strenge krav til hvordan anonymisering skal skje, og Artikkel 29-gruppen som er en rådgivende gruppe for personvernspørsmål i EU har gitt en anbefaling om hvordan anonymisering skal skje.

Det er et krav til anonymisering av data med personopplysninger at dette kan skje på en måte slik anonymiseringen ikke er reversibel og at personopplysningene ikke kan gjenopprettes. Selv om man bruker anerkjente metoder for anonymisering, inneholder metodene svakheter og med bedre og bedre teknologiske hjelpemidler vil en reversering bli mulig.

Følgende metode er anbefalt for anonymisering av data med personopplysninger:

Fjerning av individuelt identifiserbare felter. Alle felter i dataene som inneholder individuelle opplysninger som kan kobles til person skal fjernes, f.eks. navn, fødselsnr/-dato, gateadresse, telefonnummer osv. I tillegg bør andre opplysninger som kan oppfattes som sensitive også fjernes, som f.eks. beskrivelse av kontobevegelser (f.eks. kjøp i butikker, betaling av regninger osv.).

Vurdering av om dataene som er igjen i datagrunnlaget er egnet for identifisering. I denne vurderingen må man vurdere risikoen for at det er mulig å identifisere personer gjennom dataene, f.eks. om det er et lite antall personer som kan kobles til en datatype, f.eks. en liten kommune. Vurderingen må også omfatte hva som kan være mulig i den tid dataene vil være tilgjengelig for tredjepart f.eks. ved bedre dataprosesseringsmuligheter eller mot kobling av data fra tredjepart. Det bør testes om det er mulig å reversere anonymiseringen ved stikkprøver. Er det en sannsynlighet for det er mulig å identifisere personer gjennom dataene, må det iverksettes ytterligere anonymiseringstiltak. Følgende tiltak kan iverksettes i tillegg enten isolert eller i kombinasjon inntil tilstrekkelig anonymisering foreligger:

  • Randomisering av data, dvs. å endre sammenheng i data for å fjerne koblinger mellom data og personer. Randomisering kan gjøres ved omrokkering av data for å motvirke kobling innad i datagrunnlaget.
  • Generalisering av data. Generalisering av data kan gjøres ved å avrunde eller gjøre data mer generelt, f.eks. å gjøre om byer til fylker, datoer om til måneder eller år osv.
  • Pseudoanonymisering, dvs. å erstatte individuelle data (som navn) med identifikatorer (som f.eks. HRW33499af) bør kun gjøres dersom dette er helt nødvendig og det er gjort en grundig vurdering av om metoden for anonymisering og bruk av pseudoidentifikator er tilstrekkelig sikker. Bruk av hash-nøkkel, herunder saltet hash-nøkkel, vil ofte ikke være tilstrekkelig sikkert.

Det må foretas en vurdering i det enkelte tilfelle om anonymiseringen er tilstrekkelig. Dersom det er tvil om anonymisering er tilstrekkelig godt gjennomført, eller det er spesielt sensitive data, så bør det foreligge en vurdering som er skriftlig dokumentert og som er fattet på rett nivå i organisasjonen. Behandlingsansvarlig, som vil som regel være kunden, bør være med på vurderingen og beslutningen.

Dersom anonymisering ikke gjennomføres tilstrekkelig slik at anonymiseringsprosessen kan reverseres og personopplysninger kan fremskaffes, så vil all behandling av dataene etter anonymiseringen er gjennomført kunne være ulovlig med de sanksjoner som gjelder etter personvernlovgivningen. Sanksjoner kan omfatte bøter og straff og reaksjoner for de som er ansvarlige for overføringen.

Selv om dataene anses å være tilstrekkelig anonymisert bør tredjepart som mottar dataene pålegges å slette dataene på en gitt tidsfrist, bekrefte at dataene er slettes, og det bør foretas etterkontroll av at dataene er slettet.

Artikkel 29-gruppens anbefaling om anonymiseringsteknikker finnes her.

Bli den første til å kommentere på "Anonymisering av personopplysninger – anbefaling fra Artikkel 29-gruppen"

Legg inn en kommentar

Ikke gå glipp av noe!

Motta nyhetsbrev fra Teknologirett: