Hvad er pseudonymisering, og hvordan er det anderledes fra anonymisering? Hvordan kan man bruge pseudonymisering, når man foretager profilering, og hvordan kan man bruge det på sine data? Og hvordan kan pseudonymisering udgøre en merværdi for både jeres organisation og kunder?

Ordet pseudonymisering forekommer i en eller anden form 15 gange i databeskyttelsesforordningen (GDPR), der træder i kraft den 25. maj 2018. Det forekommer ikke i den nuværende EU-lovgivning om persondatabeskyttelse. Ligeledes forekommer ordet “profilering” 23 gange i GDPR. Hvorfor denne ændring?

Artikel 29-gruppen har allerede nævnt begreberne pseudonymisering og profilering i flere publikationer, som gruppen har udgivet gennem årene. Og begrebet pseudonymisering og brugen af profilering er som sådan ikke noget nyt.

Hvad er pseudonymisering og profilering?

Pseudonymisering bruger en form for kryptering til at oversætte identificerbare dele af personoplysninger til unikke, kunstige identifikatorer, såkaldte pseudonymer. På den måde afkobler man det “personlige” i personoplysninger. Dette gør dataene ”anonyme” i en begrænset kontekst. Ved hjælp af pseudonymisering kan din organisation tilføje en sikringsforanstaltning til jeres personfølsomme data, for at forhindre en sammenkædning af disse oplysninger til en persons identitet.

Profilering betyder ifølge GDPR: “Enhver form for automatiseret behandling af personoplysninger, der består i brugen af personoplysninger til at vurdere bestemte personlige forhold, der relaterer sig til en fysisk person.”

Profilering kan bruges til at forudsige den registreredes adfærd og kan være et værdifuldt direkte eller indirekte markedsføringsværktøj. Bemærk, at GDPR foreskriver, at registrerede ikke skal være underlagt beslutninger, der udelukkende er baseret på automatiseret behandling (herunder profilering), når denne behandling har juridiske eller tilsvarende betydelige konsekvenser for dem. For eksempel er det forbudt at nægte en anmodning om et lån, der udelukkende er baseret på automatiseret behandling af oplysninger om den enkelte, da dette resulterer i betydelige (og potentielt juridiske) konsekvenser for den pågældende person. Rettigheden til indsigelse, som GDPR giver de registrerede, nævner udtrykkeligt profilering.

Brug pseudonymisering til jeres fordel

Pseudonymiserede data er egnet til en stor vifte af analytiske aktiviteter, forskningsprojekter og statistiske formål. Da ikke alle personoplysninger afsløres, nedsættes risikoen for misbrug i tilfælde af et brud på datasikkerheden. GDPR sætter mere afslappede standarder for oplysninger, der er pseudonymiseret sammenlignet med personoplysninger, og synes at påvirke virksomheder og organisationer til at bruge pseudonymisering som en metode til sikring af personoplysninger. Når data er pseudonymiseret, er det desuden ikke sandsynligt, at det vil “udøve betydelig indflydelse” på den registrerede eller forårsage retsvirkninger for registrerede, fordi det er sværere at identificere den registrerede.

Hvis I anvender profilering i jeres organisation, vil pseudonymisering af profileringsdata, være underlagt mere afslappede restriktioner. Datapseudonymisering kan være en passende foranstaltning i forhold til at beskytte de registreredes rettigheder, friheder og legitime interesser. Profilering kan også have positive virkninger for jeres kunder. Baseret på de oplysninger, jeres kunder har givet, og jeres udførelse af profilering kan I være i stand til at tilbyde en identificerbar gruppe målrettede produkter.

Når det gøres rigtigt, kan anvendelse af pseudonymisering byde på flere databehandlingsmuligheder – herunder profilering – end hvis dataene skulle behandles uden at anvende pseudonymisering som en sikringsforanstaltning. Dog skal man huske, at Pseudonymiserede data stadig anses for at være personoplysninger, og man skal behandle dem som sådan. Selv om I har pseudonymiseret data, kan I stadig i tilfælde af en datalækage være forpligtet til at informere de berørte registrerede.